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《网 络 安全 原理 与 实践 》 四 攻守 


随 着 计算 机 网 络 的 发 展 , 信 息 安全 越 来 越 受到 人 们 的 关注 ,信息 安全 已 成 为 发 展 最 为 
迅速 的 学 科 领 域 之 一 。 人 员 ,技术 和 管理 是 信息 安全 保障 的 三 大 要 素 , 虽 然 人 员 和 管理 在 
安全 领域 所 扮演 的 角色 非常 重要 ,但 技术 要 素 才 是 基础 ,一 个 信息 安全 工程 师 首先 必须 对 
安全 技术 的 功能 和 其 弱点 有 深入 的 理解 。 对 于 信息 安全 专业 人 才 培 养 来 说 ,使 学 生 掌 握 
信息 安全 技术 理论 和 应 用 是 关键 。 

2001 年 经 教育 部 批准 ,武汉 大 学 创建 了 全 国 第 一 个 信息 安全 本 科 专 业 , 我 国 从 此 开 
始 了 信息 安全 本 科 生 的 培养 。2002 年 又 批准 了 18 所 高 等 学 校 建立 信息 安全 本 科 专 业 ， 
之 后 信息 安全 本 科 人 才 培 养 进入 热潮 阶段 。 在 信息 安全 本 科 生 培养 初期 ,教材 比较 医 乏 ， 
一 般 信 息 安 全 专业 课 使 用 各 个 学 校 的 内 部 讲义 或 面向 研究 生 的 教材 ,2007 年 后 出 现 了 大 
量 的 信息 安全 本 科 专 业 教 材 ,课程 涵盖 密码 学 系统 安全 、 网 络 安全 、 网 络 攻防 、 信 息 安 全 

南京 邮电 大 学 2002 年 获 批 建立 信息 安全 本 科 专 业 , 在 信息 安全 学 科 专 业 领 域 ,特别 
是 网 络 安全 方向 拥有 一 支 学 术 水 平 较 高 的 专家 队伍 ,承担 了 网 络 安全 领域 的 多 项 科研 课 
题 , 能 够 从 事 本 科 至 博士 生 的 多 层次 人 才 培 养 。 我 们 在 十 多 年 信息 安全 本 科 生 人 才 培 养 
的 过 程 中 积累 了 一 点 经 验 , 通 过 对 多 种 教材 的 使 用 有 了 一 定 的 心得 ,体会 到 信息 安全 专业 
是 一 门 对 实践 性 要 求 很 高 的 学 科 , 如 果 在 教学 中 不 能 将 理论 与 实践 相 结合 ,学 生 难 以 有 效 
地 掌握 知识 点 。 在 编写 本 书 之 前 ,我 们 将 本 书 定位 为 适应 本 科 生 教学 使 用 ,偏向 网 络 安 
全 ,理论 与 实践 相 结合 的 教材 。 编 写 时 以 网 络 安全 理论 为 本 位 ,以 实际 能 力 为 目标 ,注意 
原理 联系 实践 ,尽量 多 介绍 一 些 实际 问题 ,让 读者 增加 感性 认识 。 

本 书 围绕 网 络 安全 体系 的 建立 展开 ,第 1 章 和 第 2 章 介绍 网 络 安全 的 基本 概念 和 目 
前 存在 的 网 络 安全 威胁 ,后 续 章 节 可 以 分 为 三 大 部 分 ,第 一 部 分 为 密码 学 ,这 部 分 为 网 络 
安全 的 基础 ,主要 包含 第 3 一 6 章 ,本 书 不 过 多 讨论 密码 学 中 的 算法 设计 和 安全 性 证 明 , 重 
点 介绍 各 种 密码 的 主要 思想 和 算法 特点 ,目标 是 让 读者 能 在 不 同 应 用 场景 下 选择 合适 的 
密码 方法 ;第 二 部 分 为 网 络 安全 协议 ,由 于 网 络 技术 的 出 现 , 原 有 的 在 单机 上 的 安全 保护 
技术 遇 到 了 挑战 ,网 络 安全 协议 主要 解决 此 类 问题 ,主要 包含 第 7 一 10 章 , 还 有 第 12 章 的 
部 分 内 容 ; 第 三 部 分 为 网 络 安全 技术 , 相 比 密码 学 和 网 络 安全 协议 ,读者 在 现实 生活 中 更 
容易 接触 到 这 些 应 用 技术 ,这 些 技术 主要 会 应 用 在 网 络 攻防 中 ,主要 包含 第 11 一 17 章 。 
本 书 适合 32 一 64 学 时 使 用 ,部 分 章节 可 作为 选 学 内 容 。 
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本 书 既 注 重 网 络 安全 基础 理论 ,又 着 眼 培 养 读 者 解决 网 络 安全 问题 的 实际 能 力 。 本 
书 的 特点 是 突出 网 络 安全 的 特色 ,理论 与 实践 相 结合 ,文字 简明 通俗 易 懂 ,用 循序 渐进 的 


方式 叙述 网 络 安全 知识 ,对 网 络 安全 的 原理 与 技术 的 难点 的 介绍 适度 ,适合 本 科 生 教学 
使 用 。 

本 书 由 南京 邮电 大 学 计算 机 学 院 信息 安全 系 组 织 编写 ,为 南京 邮电 大 学 “十 二 五 ? 规 
划 教 材 , 第 3 一 6 章 、 第 15 一 17 章 由 陈 伟 编写 ,其 余 章节 由 李 频 编写 完成 。 本 书 在 编写 过 
程 中 参阅 了 大 量 文献 ,还 参考 了 互联 网 上 信息 安全 的 相关 资料 ,在 此 一 并 向 作者 表示 衷心 
的 感谢 。 硕 士 研究 生 杨 龙 、 李 晨 阳 、 吴 震 雄 、 姜 海 东 、 顾 杨 、 斤 沛 华 、 许 车 妹 等 参与 部 分 文字 
的 录入 和 插图 绘制 工作 ,此 书 的 出 版 得 到 了 多 位 专家 的 指导 和 帮助 ,在 此 一 并 表示 感谢 。 

正如 互联 网 的 设计 会 存在 漏洞 一 样 ,限于 作者 的 水 平 ,本 书 难以 避免 会 存在 错误 ,我 
们 将 会 虚心 聆听 读者 指出 的 任何 一 处 错误 ,县 请 广大 读者 批评 指正 。 作 者 的 E-mail 为 


champway@163. com,lipin7421@163. com。 


作 者 
2013 年 10 月 
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第 1 章 网 络 安全 基础 


1.1 网 络 安全 的 概念 


21 世纪 是 信息 的 时 代 , 信 息 正成 为 重要 的 战略 资源 ,信息 的 获取 能 力 、 处 理 能 力 和 保 
障 能 力 成 为 一 个 国家 综合 国力 的 重要 组 成 部 分 。 一 个 信息 技术 和 信息 产业 落后 的 国家 ， 
无 法 成 为 世界 强国 ,目前 信息 科学 和 技术 正 处 于 快速 发 展 阶段 ,成 为 促进 经 济 发 展 和 社会 
进步 的 重要 因素 。 另 一 方面 ,危害 信息 安全 的 事件 不 断 出 现 , 人 们 经 常 在 新 闻 中 听 到 黑 
客 木马, 漏洞 这 些 与 信息 安全 有 关 的 名 词 ,网络 银 行 账号 .网络 游戏 账号 .QQ 账号 被 盗 
已 经 不 再 成 为 新 闻 ,网 络 谣言 、 人 肉 搜索 等 网 络 暴力 事件 已 经 成 为 常见 的 现象 ,信息 安全 
的 形势 严峻 ,信息 技术 的 发 展 改 善 了 人 们 的 生活 ,但 也 让 人 们 的 敏感 信息 变 得 不 安全 。 也 
许 几 十 年 前 ,人 们 只 要 把 敏感 文档 锁 进 保险 箱 , 就 可 以 高 枕 无 忧 ,可 如 今 大 部 分 的 信息 都 
是 以 二 进 制 的 形式 存储 在 电子 产品 中 ,通过 网 络 进行 传送 ,人 们 已 经 没有 保险 箱 可 以 保证 
这 些 信 息 的 安全 ,信息 安全 事 关 国家 安全 和 社会 稳定 ,必须 采取 措施 确保 我 国 的 信息 
安全 。 

1. 信息 安全 的 含义 

目前 业界 关于 信息 安全 的 定义 和 内 涵 , 尚 没有 形成 一 个 统一 的 说 法 。 不 同 的 学 者 根 
据 自己 的 研究 和 理解 ,给 出 了 不 同 的 诠释 。 尽 管 这 些 诠释 不 尽 相 同 ,但 其 主要 内 容 却 是 相 
同 的 。 

信息 论 的 知识 告诉 我 们 ,信息 不 能 脱离 它 的 载体 而 孤立 存在 。 例 如 ,有 一 份 重要 的 文 
档 使 用 微软 公司 软件 Office 编辑 处 理 , 并 存储 在 计算 机 的 硬盘 中 ,可 以 通过 网 络 用 电子 
邮件 发 送 给 对 方 。 在 编辑 发 送 过 程 中 , Office 软件 、 硬 盘 、 网 络 都 是 信息 的 载体 ,如 果 
Office 软件 存在 漏洞 .计算 机 硬盘 被 偷 走 、 网 络 数据 被 截取 ,这 个 重要 的 文档 就 会 被 泄密 。 
我 们 不 能 脱离 信息 系统 而 孤立 地 谈论 信息 安全 。 因 此 ,应 当 从 信息 系统 安全 角度 来 全 面 
考虑 信息 安全 的 内 涵 。 信 息 系统 安全 主要 包括 四 个 层面 : 硬件 安全 、 软 件 安 全 、 数 据 安全 
和 安全 管理 ,其 中 的 数据 安全 即 是 传统 的 信息 安全 。 为 了 表述 简单 ,在 不 会 产生 歧义 时 可 
以 直接 将 信息 系统 安全 简称 为 “信息 安全 ”。 

(1) 硬件 安全 : 信息 系统 硬件 的 安全 是 信息 系统 安全 的 首要 问题 ,包括 硬件 的 稳定 
性 ,可靠 性 和 可 用 性 。 

(2) 软件 安全 : 如 保护 信息 系统 不 被 非法 侵入 ,系统 软件 和 应 用 软件 不 被 非法 复制 、 
自 改 ,不 受 恶 意 软 件 的 侵害 等 。 

(3) 数据 安全 : 采取 措施 确保 数据 免 受 未 授权 的 泄露 、 自 改 和 毁坏 ,主要 包括 数据 的 
机 密 性 完整 性 不 可 否认 性 和 可 用 性 。 
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(4) 安全 管理 : 运行 时 突 发 事件 的 安全 处 理 等 ,包括 建立 安全 管理 制度 .开展 安全 审 
计 、 进 行 风险 分 析 等 。 

其 中 ,信息 系统 硬件 的 安全 和 操作 系统 的 安全 是 信息 安全 的 基础 ,密码 学 、 网 络 安全 
等 技术 是 信息 安全 的 研究 核心 和 关键 技术 ,信息 系统 安全 是 信息 安全 的 目标 ,必须 确保 信 
息 在 获取 存储 ,传输 和 处 理 各 个 环节 中 的 安全 。 确 保 信息 安全 是 一 项 系统 工程 ,只 有 从 
信息 系统 的 硬件 和 底层 软件 做 起 ,从 整体 上 采取 措施 ,才能 比较 有 效 地 实现 信息 安全 。 

综 上 所 述 , 信 息 安全 是 研究 信息 获取 、 信 息 存 储 、 信 息 传输 以 及 信息 处 理 领 域 的 信息 
安全 保障 问题 的 一 门 新 兴 的 学 科 , 是 防止 信息 被 非 授权 使 用 . 误 用 、 自 改 和 拒绝 使 用 而 采 
取 的 措施 。 

信息 安全 是 综合 数学 、 物 理 , 生 物 、 量 子 力学 、 电 子 、 通 信 、 计 算 机 、 系 统 工程 .语言 学 、 
统计 学 、 心 理学 、 法 律 , 管 理 , 教 育 等 学 科 演 绎 而 成 的 交叉 学 科 , 与 这 些 学 科 既 有 紧密 的 联 
系 和 渊源 ,又 有 本 质 的 不 同 , 从 而 构成 一 个 独立 的 学 科 。 


2. 网 络 和 网 络 安全 


网 络 作为 信息 的 主要 收集 ,存储 分配、 传输 和 应 用 的 载体 ,其 安全 对 整个 信息 安全 起 
着 至 关 重 要 甚至 是 决定 性 的 作用 。 网 络 安全 的 基础 是 需要 具有 安全 的 网 络 体系 结构 和 网 
络 通信 协议 。 但 遗憾 的 是 ,如 今 基 于 TCP/IP 协议 簇 实现 的 Internet 无 论 是 其 体系 结构 
还 是 通信 协议 ,都 具有 各 种 各 样 的 安全 漏洞 .因此 带 来 的 安全 事件 层出不穷 。 因 此 利用 网 
络 进 行 的 攻击 与 反攻 击 、 控 制 与 反 控制 永远 不 会 停止 。 

网 络 安全 ,也 就 是 网 络 信息 系 统 的 安全 ,是 指 网 络 系统 的 硬件 、 软 件 及 系统 中 的 数据 
受到 保护 ,不 因 偶然 的 或 者 恶意 的 原因 而 遭 到 破坏 、 算 改 、 汇 露 , 系 统 连 续 可 靠 正常 地 运 
行 ,网 络 服务 不 被 中 断 。 为 了 实现 网 络 安 全 ,需要 保证 计算 机 自身 的 安全 、 互 联 的 安全 ( 包 
含 通信 设备 .通信 链 路 、 网 络 协议 的 安全 ) ,各 种 网 络 应 用 和 服务 的 安全 等 几 个 方面 。 相 对 
于 信息 安全 包含 的 其 他 安全 技术 ,网 络 安全 是 本 书 的 研究 重点 。 


1.2 主要 的 网 络 安全 威胁 


网 络 安全 威胁 有 很 多 种 类 ,存在 着 不 同 的 分 类 方法 ,其 中 一 种 分 类 方式 是 将 它们 分 成 
主动 攻击 与 被 动 攻击 。 被 动 攻击 是 指 攻击 者 监听 网 络 通信 时 传递 的 数据 流 , 从 而 获取 信 
息 内 容 ,或 者 进行 信息 量 分 析 。 主 动 攻击 包括 伪装 成 其 他 用 户 、 复 改 网 络 上 传输 的 信息 或 
算 改 主机 或 服务 器 的 信息 。 主 动 攻击 有 中 断 、 伪 造 、 算 改 、 重 放 等 几 种 。 这 两 种 攻击 方法 
的 优 缺 点 是 互补 的 ,也 就 是 说 ,被 动 攻击 往往 很 难 检测 但 相对 容易 预防 ,而 主动 攻击 很 难 
预防 却 相对 容易 检测 。 下 面 列举 几 种 主要 的 网 络 安全 威胁 方式 : 


1. 伪装 或 假冒 


某 个 未 授权 实体 伪装 或 假冒 成 男 一 个 被 授权 实体 ,从 而 非法 获取 系统 的 访问 权限 或 
得 到 额外 的 特权 。 它 通常 和 消息 的 重 放 及 自 改 等 主动 攻击 形式 同时 使 用 。 


网 络 安全 基础 


2. 否认 或 抵赖 


网 络 用 户 虚 假 地 否认 发 送 过 的 信息 或 接收 到 的 信息 。 威 胁 源 可 以 是 用 户 和 程序 , 受 
威胁 对 象 是 用 户 。 


对 正确 存储 的 数据 和 通信 的 信息 流 进行 非法 的 自 改 、 删 除 或 插入 等 操作 ,从 而 使 得 数 
据 的 完整 性 遭 到 破坏 。 


4. 破坏 机 密 性 


用 户 通过 搭 线 窃 听 、 网 络 监听 等 方法 非法 获得 网 络 中 传输 的 非 授权 数据 的 内 容 , 或 者 
通过 非法 登录 他 人 系统 得 到 系统 中 的 明文 信息 。 


5. 信息 量 分 析 


攻击 者 通过 观察 通信 中 信息 的 形式 ,如 信息 长 度 、 频 率 、 来 源 地 ,目的 地 等 ,而 不 是 通 
信 的 内 容 , 来 对 通信 进行 分 析 。 


6. 重 放 


攻击 者 利用 身份 认证 机 制 中 的 漏洞 , 先 把 别人 有 用 的 密 文 消息 记录 下 来 ,过 一 段 时 间 
后 再 发 送出 去 ,以 达到 假冒 合法 用 户 登录 系统 的 目的 。 


7. 重 定向 


网 络 攻击 者 设法 将 信息 发 送 端 重 定向 到 攻击 者 所 在 计算 机 ,然后 再 转发 给 接收 者 。 
例如 ,攻击 者 伪造 某 个 网 上 银行 域名 ,用 户 却 以 为 是 真实 网 站 , 按 要 求 输入 账号 和 口令 , 攻 
击 者 就 能 获取 相关 信息 。 


8. 拒绝 服务 


攻击 者 对 系统 进行 非法 的 、 根 本 无 法 成 功 的 大 量 访问 尝试 而 使 系统 过 载 , 从 而 导致 系 
统 不 能 对 合法 用 户 提 供 正常 访问 。 


9. 恶意 软件 


通过 非法 自 改 程序 的 方式 来 破坏 操作 系统 、 通 信和 软件 或 应 用 程序 ,从 而 获得 系统 的 控 
制 权 。 主 要 的 恶意 软件 有 病毒 .蠕虫 .特洛伊 木马 间谍 程序 以 及 其 他 黑客 程序 等 。 


10. 社会 工程 


所 谓 社会 工程 (social engineering) ,是 指 利用 说 服 或 欺骗 的 方式 ,让 网 络 内 部 的 人 
(如 安全 意识 薄弱 的 职员 ) 来 提供 必要 的 信息 ,从 而 获得 对 信息 系统 的 访问 。 它 其 实 是 高 
级 黑客 技术 的 一 种 ,往往 使 得 看 似 处 在 严密 防护 下 的 网 络 系统 出 现 致命 的 突破 口 。 
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1.3 TCP/IP 协议 簇 的 安全 问题 


网 络 安全 指 的 是 基于 TCP/IP 协议 簇 的 互联 网 和 局 域 网 的 安全 ,但 实际 上 它们 是 有 
着 很 多 安全 问题 的 。 互 联网 由 于 没有 中 心 的 管理 机 构 ,是 一 种 自治 的 广域网 ,任何 一 台 主 
机 或 者 各 种 类 型 的 局 域 网 只 要 遵从 TCP/IP 协议 和 IP 地 址 分 配 规则 ,就 能 够 连 人 
Internet。Internet 容易 隐藏 攻击 者 的 踪迹 且 蕴 藏 巨大 的 计算 能 力 ,因此 它 是 一 个 理想 的 
分 布 式 攻击 平台 。 

由 于 最 初 TCP/IP 是 在 可 信任 环境 中 开发 出 来 的 ,在 协议 设计 的 总 体 构想 上 未 考虑 
安全 问题 ,所 以 基本 谈 不 上 有 安全 性 。 后 来 虽然 TCP/IP 经 过 一 次 又 一 次 的 改进 ,但 因为 


其 先天 不 足 和 需要 向 后 兼容 的 原因 ,仍然 未 彻底 解决 其 自身 安全 性 问题 。TCP/IP 协议 
徐 的 组 成 和 协议 之 间 的 相关 性 如 图 1. 1 所 示 。 
用 户 
应 用 程序 
[== SMIP NS 
FTP 
- ASN.1 XDR 
BGp |RPc Rlogin TELNET|oss pi TE TE Roo a RIP > 
TCP | UDP 
了 
ARP、ATMARP、SLIP 和 PPP 
硬件 设备 驱动 程序 以 及 媒体 接 入 协议 


硬件 
图 1.1 TCP/IP 协议 簇 的 组 成 和 协议 之 间 的 相关 性 
1.3.1 链 路 层 协 议 的 安全 隐患 


1. ARP 的 安全 隐患 


ARP 通常 用 来 将 IP 地 址 转换 为 网 卡 物理 地 址 ( 即 MAC 地 址 ) ,主要 通过 使 用 ARP 
缓存 映射 表 来 完成 。 但 该 协议 有 一 个 问题 ,为 了 减少 网 络 上 过 多 ARP 数据 通信 ,一 台 主 
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机 即使 收 到 的 ARP 应 答 并 非 自 己 请 求 的 ,也 会 将 其 插入 到 自己 的 ARP 缓存 表 中 。 这 将 
会 被 利用 ,导致 基于 ARP 欺骗 的 中 间 人 (Man In The Middle, MITMD) 攻 击 。 


2. 以 太 网 协议 CSMA/CD 的 安全 隐患 


以 太 网 协议 CSMA/CD 是 基于 广播 方式 传送 数据 的 ,所 有 物理 信号 都 被 传送 到 每 一 个 
主机 节点 ,如 果 网 卡 被 设置 成 混杂 模式 ,这 种 模式 下 无 论 监听 到 的 数据 帧 的 目的 地 址 如 何 ， 
网 卡 都 能 够 接收 。 这 样 一 个 以 太 网 接口 就 能 接收 不 属于 它 的 数据 帧 ,从 而 实现 网 络 嗅 探 。 


1.3.2 网 络 层 协议 的 安全 隐患 


1. IP 的 安全 隐患 


IP 地 址 是 由 Internet 网 络 信息 中 心 分 发 的 ,所 以 很 容易 发 现 数 据 包 的 源 地 址 。 而 且 
IP 地 址 隐 含 了 主机 所 在 的 网 络 , 攻 击 者 可 以 根据 它 得 到 目标 网 络 的 拓扑 结构 。 因 此 使 用 
公有 IP 地 址 的 网 络 拓扑 对 Internet 上 的 用 户 来 说 是 暴露 的 。 

Internet 上 的 路 由 器 只 负责 将 数据 传送 到 下 一 个 路 由 器 ,并 不 关心 其 中 内 容 , 也 没有 
人 关心 其 中 内 容 。 也 就 是 说 其 中 数据 包 的 包头 和 内 容 都 有 可 能 被 假冒 、 自 改 和 破坏 。 数 
据 包 都 是 分 成 多 个 分 片 在 网 络 上 分 别 发 送 , 黑 客 很 容易 插入 数据 包 自 改 其 中 内 容 。 

IP 既 不 能 为 数据 提供 完整 性 、 机 密 性 保护 ,又 缺少 对 源 IP 地 址 的 认证 机 制 。 所 以 源 
IP 地 址 很 容易 被 伪造 和 更 改 ,导致 网 络 遭 受 IP 欺骗 攻击 ,这 样 网 上 传输 数据 的 真实 来 源 
就 无 法 得 到 保证 。 

IP 的 另 一 个 安全 问题 是 利用 * 源 路 由 ?选项 进行 攻击 。 源 路 由 指定 了 IP 数据 包 必 须 
经 过 的 路 径 , 对 该 选项 的 设置 使 得 人 侵 者 能 够 绕 开 某 些 网 络 安全 措施 而 通过 安全 性 差 的 
路 径 来 攻击 目标 主机 。 

最 后 ,IP 还 可 能 受到 一 种 称 为 IP 分 片 包 ” 的 威胁 ,这 可 能 使 被 攻击 的 目标 系统 遭受 
分 片 扫描 和 拒绝 服务 等 攻击 。 


2. ICMP 的 安全 隐患 


黑客 可 以 利用 ICMP 重 定向 报 文 来 破坏 路 由 ,进行 数据 包 截取 ;也 可 以 实现 操作 系统 
指纹 识别 ,识别 被 扫描 主机 的 端口 开放 情况 ;还 可 以 利用 不 可 达 报 文 对 某 一 服务 器 发 起 拒 
绝 服务 攻击 。 


1.3.3 传输 层 协议 的 安全 隐患 


1. TCP 的 安全 隐患 


使 用 TCP 协议 建立 一 个 完整 的 连接 时 ,需要 经 历 “三 次 握手 ”过 程 。 如 果 这 其 中 客户 
的 了 P 地址 是 虚假 的 ,服务 器 就 需要 维持 大 量 的 “ 半 连 接 列 表 ” 而 耗费 相当 多 的 资源 ,最 终 
导致 服务 器 遭受 拒绝 服务 攻击 ,典型 的 针对 TCP 握手 的 拒绝 服务 攻击 就 是 SYN 
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Flooding 攻击 。 

TCP 提供 的 可 靠 连接 是 通过 对 初始 序列 号 的 认证 来 实现 的 ,每 一 个 合法 的 TCP 连 
接 都 有 一 个 客户 机 /服务 器 双方 共享 的 唯一 序列 号 作为 标识 。 如 果 操 作 系统 所 产生 的 序 
列 号 并 不 是 真正 随机 的 ,攻击 者 猜 出 序列 号 之 后 ,就 可 以 控制 该 TCP 连接 ,从 而 对 目标 服 
务 器 进行 IP 欺骗 等 攻击 。 


2. UDP 的 安全 隐患 


UDP 是 一 个 无 连接 ,不 可 靠 的 协议 ,传输 数据 前 不 需要 建立 连接 ,所 以 欺骗 UDP 包 
比 欺 骗 TCP 包 更 容易 ,非常 容易 受到 IP 源 路 由 和 拒绝 服务 攻击 。 


1.3.4 应 用 层 协议 的 安全 隐患 


1. DNS 协议 的 安全 隐患 


DNS 协议 通常 完成 IP 地 址 到 域名 之 间 的 转换 。 但 该 协议 有 一 个 问题 , 当 一 个 DNS 
服务 器 向 另 一 个 DNS 服务 器 发 送 某 个 域名 解析 请 求 时 ,黑客 冒充 被 请 求 方 ,向 请 求 方 返 
回 一 个 被 算 改 了 的 应 答 。 这 样 域名 就 被 解析 成 错误 的 IP 地 址 ,将 请 求 方 导向 不 是 它 真 正 
请 求 的 服务 器 ,从 而 达到 DNS 欺骗 的 目的 。 


2. 路 由 协议 的 安全 隐患 


许多 路 由 协议 使 用 未 加 密 的 非 一 次 性 口令 来 认证 数据 中 的 路 由 信息 ,容易 被 窃听 , 因 
此 可 以 通过 修改 路 由 信息 来 扰乱 合法 路 由 器 的 路 由 表 , 以 达到 修改 网 络 数据 传输 路 径 的 
目的 。 另 外 很 多 路 由 协议 ,如 BGP ,是 通过 TCP 协议 传送 数据 ,对 TCP 的 攻击 也 会 影响 
它 的 安全 。 


3. Web 协议 的 安全 隐患 


Web 具有 动态 性 和 双向 性 ,使 得 Web 服务 非常 容易 遭受 来 自 Internet 的 攻击 。 另 外 
实现 Web 浏览 和 配置 管理 等 功能 的 软件 非常 复杂 ,其 中 隐藏 着 很 多 安全 隐患 。 更 重要 的 
是 构成 Web 程序 的 脚本 语句 不 需要 经 过 严格 的 编译 过 程 来 修改 其 中 的 错误 ,就 能 够 直接 
运行 ,同时 Web 页 面 中 使 用 的 有 些 控件 的 实现 代码 是 直接 从 网 络 下 载 得 到 的 ,这 些 都 对 
Web 程序 的 安全 构成 威胁 。 


4. 其 他 协议 的 安全 隐患 


建立 在 TCP/ 了 下 协议 上 的 应 用 程序 还 有 SMTP、POP3、Telnet .FTP、SNMP.、RPC 等 , 它 
们 大 都 以 守护 进程 的 形式 以 root 权限 运行 ,黑客 利用 它们 的 代码 中 出 现 的 安全 漏洞 就 能 够 
取得 系统 控制 权 ; 同 时 它们 都 采用 简单 的 身份 认证 方式 (基于 口令 的 认证 或 基于 地 址 的 认 
证 ), 且 信息 以 明文 方式 在 网 络 中 传输 ,这 都 会 导致 非常 大 的 安全 隐患 ,危及 整个 系统 的 安全 
性 。 另 外 TCP/IP 下 层 协 议 的 安全 缺陷 必然 导致 应 用 层 的 安全 出 现 漏洞 甚至 崩溃 。 
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1.4 OSI 安全 体系 结构 


国际 标准 化 组 织 (ISO) 制 定 的 OSI( 开 放 系统 互 连 ) 中 的 基本 参考 模型 只 考虑 了 网 络 
协议 所 实现 的 功能 和 性 能 ,而 没有 考虑 提供 任何 的 网 络 安全 性 。 后 来 ,ISO 于 1989 年 对 
OSI 环境 的 安全 性 进行 了 深入 的 研究 ,在 此 基础 上 又 提出 了 一 个 OSI 安全 体系 结构 , 作 
为 对 七 层 网 络 协议 在 安全 方面 的 补充 , 它 可 以 作为 研究 设计 计算 机 网 络 以 及 评估 和 改进 
现 有 系统 的 理论 依据 。OSI 安全 体系 结构 定义 了 安全 服务 (也 叫 安全 需求 ) 、 安 全 机 制 , 安 
全 管理 及 有 关 安 全 方面 的 其 他 问题 ,此 外 它 还 定义 了 各 种 安全 机 制 以 及 安全 服务 在 OSI 
各 层 中 的 位 置 。 


1.4.1 安全 服务 


在 对 安全 威胁 进行 分 析 的 基础 上 ,规定 了 五 种 标准 的 安全 服务 。 


1. 认证 
认证 用 于 认证 实体 的 身份 和 对 身份 的 证 实 , 包 括 对 等 实体 认证 和 数据 源 认证 两 种 。 
2. 访问 控制 


访问 控制 提供 对 越权 使 用 资源 的 防御 措施 ,防止 系统 资源 被 非法 使 用 。 
3. 数据 机 密 性 


数据 机 密 性 针对 信息 泄露 而 采取 的 防御 措施 ,分 为 连接 机 密 性 、 无 连接 机 密 性 、 选 择 
字段 机 密 性 ,通信 业务 流 机 密 性 四 种 。 


数据 完整 性 防止 非法 算 改 和 破坏 信息 ,如 修改 、 复 制 、 插 入 和 删除 等 ,分 为 带 恢 复 的 连 
接 完整 性 、 无 恢复 的 连接 完整 性 、 选 择 字段 的 连接 完整 性 、 无 连接 完整 性 、 选 择 字段 无 连接 
完整 性 五 种 。 

5. 抗 否认 

抗 否认 是 针对 对 方 否认 的 防范 措施 ,用 来 证 实 发 生 过 的 操作 ,包括 对 发 送 方 的 抗 否认 
和 对 接收 方 的 抗 否认 两 种 。 
1.4.2 安全 机 制 


安全 服务 可 以 单个 使 用 ,也 可 以 组 合 起 来 使 用 。 一 种 安全 服务 可 以 由 一 种 或 数 种 安 
全 机 制 支 持 , 一 种 安全 机 制 也 可 以 支持 多 种 安全 服务 。 支 持 上 述 的 安全 服务 可 以 借助 以 
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下 的 安全 机 制 来 实现 : 

(1) 加 密 机 制 : 借助 各 种 加 密 算法 对 存储 和 传输 的 数据 进行 加 密 , 是 各 种 安全 服务 
的 基础 。 

(2) 数字 签名 : 发 送 方 用 自己 私 钥 数 字 签 名 ,接收 方 用 发 送 方 公 钥 验 证 签名 一 一 数 
字 签 名 也 是 对 发 送 方 的 鉴别 。 


(3) 访问 控制 机 制 : 根据 访问 者 的 身份 和 有 关 信 息 ,决定 实体 的 访问 权限 。 

(4) 数据 完整 性 机 制 : 判断 信息 在 传输 过 程 中 是 否 被 自 改 过 ,但 它 一 般 不 能 防止 重 
放 攻 击 。 

(5) 认证 交换 机 制 : 用 来 实现 对 等 实体 的 认证 ,如 进行 口令 交换 的 一 次 性 口令 机 制 。 

(6) 通信 业务 填充 机 制 : 通过 填充 宛 余 的 业务 流量 来 防止 攻击 者 进行 “信息 量 分 
析 ”, 目 的 是 不 要 暴露 正在 传输 的 数据 ,填充 的 流量 需 通 过 加 密 进行 保护 。 

(7) 路 由 选择 控制 机 制 : 防止 不 利 的 信息 通过 路 由 ,如 使 用 网 络 层 防 火 增 ; 还 可 以 使 
信息 发 送 者 选择 特殊 的 路 由 ,以 保证 数据 安全 。 

(8) 公证 机 制 : 由 第 三 方 使 用 数字 签名 机 制 为 通信 用 户 签发 数字 证 书 来 实现 , 它 基 
于 通信 双方 对 第 三 方 都 绝对 信任 。 


1.5 网络 安全 服务 及 其 实现 层次 


一 种 安全 服务 是 否 可 以 在 对 应 于 TCP/IP 协议 簇 五 层 的 某 一 层 实现 ,主要 依据 有 以 
下 三 点 ， 

(1) 参数 要 求 : 能 否 直接 提供 实现 服务 的 机 制 所 需 的 参数 。 

(2) 服务 要 求 : 该 层 协议 数据 单元 是 否 需 要 这 种 安全 服务 。 

(3) 效益 要 求 : 在 该 层 实现 这 种 服务 的 成 本 和 效益 状况 。 


1.5.1 机 密 性 


阻止 未 经 授权 的 用 户 非法 获取 保密 信息 , 即 相关 信息 只 给 授权 用 户 使 用 。 即 使 是 攻 
击 者 得 到 了 信息 本 身 , 他 也 无 法 从 中 得 到 信息 的 内 容 或 提炼 出 有 用 数据 。 数 据 机 密 性 分 
为 存储 的 机 密 性 和 传输 的 机 密 性 : 存储 的 机 密 性 是 指数 据 在 系统 中 存储 的 过 程 中 不 被 攻 
击 者 获得 其 内 容 ;传输 的 机 密 性 是 指数 据 在 网 络 中 传输 的 过 程 中 不 被 第 三 方 获得 其 内 容 。 

(1) 物理 层 可 以 通过 成 对 插入 透明 的 电气 转换 设备 实现 线路 信号 的 保密 ,这 种 机 密 
性 服务 相对 简单 透明 。 

(2) 链 路 层 可 以 提供 相 邻 的 节点 间 交 换 数据 的 保密 ,与 物理 层 机 密 性 服务 构成 元 余 
的 线路 保密 服务 。 

(3) 网 络 层 具 备 建立 网 络 主机 和 设备 级 机 密 性 服务 条 件 , 在 网 关上 可 以 提供 中 继 式 
保密 机 制 。 但 这 种 保密 为 同一 主机 上 的 所 有 用 户 提 供 的 机 密 性 服务 是 相同 的 。 

(4) 传输 层 具 备 建立 网 络 服务 端口 级 的 端 - 端 交换 数据 的 保密 ,因而 ,可 以 区 分 不 同 
端口 间 数 据 交换 保密 需求 。 但 是 传输 中 间 的 节点 不 参与 这 种 机 密 性 服务 。 
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(5) 应 用 层 具备 建立 应 用 进程 间 的 交换 数据 机 密 性 服务 条 件 , 但 同时 也 增加 了 机 密 
性 服务 参数 管理 的 复杂 性 ,相对 较 低 的 机 密 性 服务 而 言 ,对 网 络 主机 的 密码 算法 和 密 钥 管 
理 提出 了 更 高 的 要 求 。 

数据 机 密 性 主要 通过 下 面 的 机 制 得 到 保证 : 物理 保密 、 防 窃听 、 防 辐射 ,信息 加 密 、 通 
信 业 务 填充 机 制 等 。 


1.5.2 完整 性 


在 未 经 许可 的 情况 下 ,保证 数据 不 会 被 他 人 删除 或 修改 。 完 整 性 也 分 为 存储 的 完整 
性 和 传输 的 完整 性 ,是 指数 据 在 存储 和 传输 过 程 中 不 被 偶然 或 故意 地 搬入、 删除 、 修 改 、 伪 
造 、 乱 序 和 重 放 。 不 过 一 般 提起 保护 数据 完整 性 ,并 非 真 的 是 防止 数据 被 非法 算 改 ,实际 
上 是 指 提供 一 种 检查 数据 是 否 被 非法 自 改 的 机 制 ,以 防止 接收 被 自 改 的 数据 。 

(1) 物理 层 没 有 检测 或 恢复 机 制 , 不 具备 数据 完整 性 服务 条 件 。 

(2) 链 路 层 具 备 相 邻 的 节点 之 间 的 完整 性 服务 条 件 , 但 对 网 络 上 的 每 个 节点 来 说 增 
加 了 系统 的 时 空 开 销 , 而 提供 的 完整 性 不 是 最 终 意 义 上 的 完整 性 ,所 以 不 具备 效益 要 求 。 

(3) 网 络 层 也 被 认为 不 具备 效益 要 求 ,对 网 络 层 实体 而 言 ,它们 自己 产生 和 管理 的 网 
络 管理 信息 的 完整 性 服务 是 必需 的 ,但 这 种 服务 是 网 络 层 内 部 的 需要 ,不 对 高 层 开放 , 因 
而 不 是 我 们 所 指 的 数据 完整 性 服务 。 

(4) 传输 层 因 为 提供 了 端 到 端的 连接 ,因而 被 认为 最 适宜 提供 数据 完整 性 服务 ,不 过 
通常 这 种 完整 性 不 具备 语义 完整 性 服务 功能 。 

(5) 应 用 层 可 以 建立 应 用 实体 相关 的 语义 完整 性 服务 。 

数据 完整 性 主要 通过 下 面 的 机 制 得 到 保证 : 数据 校 验 数字 指 纹 、 消 息 校 验 码 、 防 重 
放 机 制 等 。 


1.5.3 身份 认证 


用 户 要 向 系统 证 明 他 就 是 他 所 声称 的 那个 人 ,目的 是 为 了 防止 非法 用 户 访问 系统 和 
网 络 资源 , 它 是 确保 合法 用 户 使 用 系统 的 第 一 道 关卡 。 

(1) 物理 层 不 具备 认证 服务 的 参数 要 求 。 

(2) 链 路 层 不 具备 认证 服务 的 服务 和 效益 要 求 。 

(3) 网 络 层 上 具备 进行 网 络 主机 和 设备 级 认证 的 参数 要 求 ,可 以 满足 数据 通信 对 网 
关 认 证 的 服务 要 求 , 同 时 可 以 满足 网 络 通信 管理 信息 的 来 源 认 证 要 求 。 

(4) 传输 层 具 备 网 络 通信 中 系统 端口 级 认证 的 参数 要 求 , 在 一 个 连接 的 开始 前 和 持 
续 过 程 中 能 够 提供 两 个 或 多 个 通信 实体 的 进程 级 认证 服务 。 

(5) 应 用 层 可 以 提供 和 满足 应 用 实体 ( 即 用 户 ) 间 的 特殊 或 专门 认证 服务 。 

实现 身份 认证 的 主要 方法 包括 口令 ,数字 证 书 、 基 于 生物 特征 以 及 通过 可 信 第 三 方 进 
行 认证 等 。 
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1.5.4 访问 控制 


限制 主体 对 访问 客体 的 访问 权限 ,从 而 使 计算 机 系统 在 合法 范围 内 使 用 。 访 问 控制 
建立 在 身份 认证 基础 上 ,通过 限制 对 关键 资源 的 访问 ,防止 非法 用 户 的 侵入 或 因为 合法 用 
户 的 不 慎 操作 而 造成 的 破坏 。 

(1) 物理 层 和 链 路 层 不 具备 访问 控制 服务 的 参数 要 求 , 这 是 因为 没有 可 用 于 这 样 一 
种 访问 控制 机 制 的 物理 设备 。 

(2) 网 络 层 可 以 确立 网 络 层 实体 的 标识 ,如 精细 到 网 络 设备 或 主机 级 访问 主体 和 客 
体 标识 ,因而 可 以 驱动 基于 网 络 设备 ,主机 、 网 段 或 子 网 的 访问 控制 机 制 , 提 供 网 络 层 实体 
访问 控制 服务 。 这 是 一 种 粗 粒 度 的 访问 控制 ,但 其 控制 的 范围 也 相对 广泛 。 

(3) 传输 层 可 以 提供 基于 网 络 端口 服务 的 访问 控制 机 制 ,控制 端 到 端 之 间 数 据 共享 
或 设备 共享 。 

(4) 应 用 层 能 提供 应 用 相关 的 访问 控制 服务 ,将 访问 控制 建立 在 应 用 层 实体 (如 用 
户 ) ,将 保护 精细 到 具体 应 用 过 程 中 涉及 的 资源 (如 每 个 文件 ) 。 

实现 访问 控制 的 主要 方法 ,从 宏观 上 分 为 自主 访问 控制 和 强制 访问 控制 等 ;从 具体 实 
现 方法 上 分 为 访问 控制 矩阵 和 访问 控制 表 等 。 


1.5.5 不 可 否认 


发 送 方 (或 接收 方 ) 不 能 否认 它 曾 经 在 某 时 发 送 (或 接收 ?过 的 数据 。 即 通信 方 必须 对 
自己 的 行为 负责 ,而 不 能 也 无 法 事后 否认 ;车 发 送 方 没 有 发 送 过 数据 ,其 他 人 也 无 法 假冒 
发 送 方 成 功 。 不 可 否认 分 为 : 发 送 方 的 不 可 否认 (发 送 方 无 法 否认 他 曾经 发 送 过 某 消 
息 )、 接 收 方 的 不 可 否认 (接收 方 无 法 否认 他 曾经 接收 过 某 消息 )、 时 间 上 不 可 否认 。 

(1) 不 可 否认 服务 必须 具备 完整 的 证 明 信 息 和 公证 机 制 , 显 然 在 传输 层 以 下 都 不 具 
备 完整 的 证 明 信 息 交换 条 件 。 

(2) 不 可 否认 服务 的 证 明 信 息 的 管理 与 具体 服务 项 目 密切 相关 ,与 公证 机 制 相关 , 因 
而 ,传输 层 本 身 也 难以 胜任 ,通常 都 建立 在 应 用 层 之 上 。 

主要 的 不 可 否认 机 制 有 数字 签名 数字 签名 收 条 和 时 间 戳 等。 时 间 惟 同时 还 可 以 保 
证 消息 的 完整 性 ,有 效 地 防止 重 放 攻击 。 


1.5.6 可 用 性 


我 们 要 求 计算 机 或 网 络 能 够 在 我 们 期 望 它 以 我 们 所 期 望 的 方式 运行 的 时 候 运 行 。 即 
网 络 服 务 在 需要 时 ,具有 允许 授权 用 户 使 用 的 特性 ;或 者 是 网 络 部 分 受 损 或 需要 降级 使 用 
时 , 仍 能 为 授权 用 户 提供 有 效 服务 的 特性 。 可 用 性 分 为 物理 上 的 可 用 性 和 防止 拒绝 服务 
来 实现 可 用 性 。 从 参数 要 求 .服务 要 求 效益 要 求 三 个 方面 来 看 ,可 用 性 比较 适合 在 网 络 
层 和 传输 层 实现 。 
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不 受到 断 


电 、 地 震 、 火 灾 , 水 灾 等 自然 灾害 的 影响 ;对 网 络 阻 塞 、 网 络 蠕虫 黑客 攻击 等 容易 导致 系统 
崩溃 或 带宽 过 度 损耗 的 情况 采取 措施 等 。 


1.6 ”TCP/IP 协议 乱 的 安全 架构 


TCP/IP 协议 簇 的 所 有 协议 都 不 能 提供 上 述 六 种 网 络 安全 服务 。 为 了 解决 TCP/IP 
协议 得 的 安全 性 问题 ,以 IETF 为 代表 的 相关 组 织 不 断 通 过 对 现 有 协议 的 改进 和 设计 新 
的 安全 协议 来 对 现 有 的 TCP/IP 提供 相关 的 安全 保证 。 由 于 TCP/IP 各 层 提 供 的 功能 不 
同 , 需 要 面向 各 层 提供 的 安全 保证 也 不 同 ,因此 人 们 在 协议 的 不 同 层次 上 设计 了 相应 的 安 
全 协议 。 一 个 单独 的 层次 无 法 提供 全 部 的 网 络 安全 服务 ,从 而 形成 了 由 各 层 安全 协议 构 
成 的 TCP/IP 协议 簇 的 安全 架构 ,如 图 1. 2 所 示 。 


用 户 
应 用 程序 


硬件 
图 1.2 TCP/IP 协议 能 的 安全 架构 


1. 链 路 层 安全 协议 


链 路 层 安全 协议 负责 提供 通过 通信 和 链 路 连接 的 主机 或 路 由 器 之 间 的 安全 保证 。 主 要 
优点 是 效率 高 和 容易 实施 ,也 被 经 常 使 用 ,主要 缺点 是 不 通用 ,扩展 性 不 强 ,在 Internet 环 


境 中 并 不 完全 适 


用 。 


2. 网络 层 安全 协议 


网 络 层 安全 协议 主要 是 解决 网 络 层 通 信 的 安全 问题 ,IPSec 是 现 阶 段 最 为 主要 的 网 


络 层 安全 协议 。 主 要 优点 是 对 网 络 层 以 上 各 层 透明 性 好 , 即 安全 服务 的 提供 不 需要 应 用 


程序 做 任何 改动 ,并 具有 与 物理 网 络 的 无 关 性 。 主 要 缺点 是 很 难 提供 不 可 否认 性 服务 , 且 


不 能 对 来 自 同一 
供 所 需 的 特定 功 


能 ,甚至 导致 出 现 宛 余 , 从 而 造成 系统 性 能 下 降 。 


E 机 但 属于 不 同 进程 的 数据 包 分 别 施加 安全 保证 ,这 就 可 能 导致 不 能 提 
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3. 传输 层 安全 协议 


传输 层 安全 协议 主要 实现 传输 层 的 安全 通信 ,只 可 实现 端 到 端 (进程 到 进程 ) 的 加 密 。 
主要 优点 是 它 能 提供 基于 进程 到 进程 的 安全 服务 ,并 可 以 利用 公 钥 加 密 机 制 实现 通信 的 
端 实体 间 的 相互 认证 ,支持 用 户 选择 的 加 密 算法 。 主 要 缺点 是 需要 对 应 用 程序 进行 修改 
才能 增加 相应 的 安全 功能 ,提供 安全 的 透明 性 不 好 ,无 法 从 根本 上 解决 身份 认证 和 不 可 否 
认 问 题 。 另 外 ,基于 UDP 的 通信 很 难 在 传输 层 建立 起 安全 机 制 。 


4. 应 用 层 安 全 协议 


应 用 层 的 安全 措施 必须 在 端 系统 及 主机 上 实施 。 应 用 层 的 安全 性 使 得 数据 在 交付 下 
层 协 议 之 前 已 经 是 加 密 的 ,这 大 大 减少 了 失 密 的 可 能 。 其 主要 优点 还 有 : 可 以 更 紧密 地 
结合 具体 应 用 内 容 的 安全 需求 和 特点 ,提供 针对 性 更 强 的 安全 功能 和 服务 ,可 以 非常 灵活 
地 处 理 单个 文件 安全 性 ,能 够 提供 包括 身份 认证 ,访问 控制 .不 可 否认 数据 机 密 性 、 数 据 
完整 性 等 功能 。 但 主要 缺点 也 由 此 引起 , 它 需 要 对 操作 系统 内 核 做 较 大 调整 ,而 且 针 对 每 
个 应 用 都 需要 单独 设计 一 套 安全 机 制 ,并 没有 一 个 统一 的 解决 方案 。 

总 体 来 说 ,安全 协议 在 TCP/IP 协议 栈 中 实现 的 层次 越 低 , 协 议 就 越 具有 灵活 性 ,能 
够 提供 整个 数据 包 的 安全 性 ,具有 通用 性 , 且 该 协议 运行 性 能 就 越 好 ,对 用 户 的 影响 也 就 
越 小 ; 另 一 方面 ,高 层 的 安全 协议 则 能 够 针对 用 户 和 应 用 提供 不 同 级 别 的 ,更 灵活 的 安全 
功能 。 至 于 需要 在 哪 一 层 使 用 什么 安全 协议 ,要 综合 考虑 需要 保护 的 应 用 对 安全 保密 的 
具体 要 求 、 每 一 层 实现 安全 功能 的 特点 以 及 其 他 有 关 因 素 。 


1.7 PPDR 安全 模型 


安全 模型 是 指 在 一 个 特定 的 环境 里 ,为 保证 提供 一 定 级 别 的 安全 性 所 奉行 的 基本 思 
想 , 它 表示 安全 服务 和 安全 框架 是 如 何 结合 的 ,主要 供 开 发 人 员 在 开发 安全 协议 时 使 用 。 
总 体 来 说 ,安全 模型 已 经 从 以 前 的 被 动 防御 发 展 到 现在 的 主动 防御 ,强调 整个 生命 周期 的 
防御 和 恢复 。 

这 里 给 出 一 个 经 典 的 .最 早 提出 的 体现 这 一 思想 的 安全 模型 一 一 动态 的 自 适应 网 络 
安全 模型 (简称 PPDR 模型 ) 。 该 模型 可 量化 .可 由 数学 证 明 , 且 基于 时 间 特 性 。PPDR 模 
型 是 在 整体 的 安全 策略 的 控制 和 指导 下 ,在 综合 运用 防护 工具 的 同时 ,利用 检测 工具 了 解 
和 评估 系统 的 安全 状态 ,将 系统 调整 到 “最 安全 ”和 “风险 最 低 ” 的 状态 。 图 1. 3 给 出 的 是 
PPDR 安全 模型 。 


1. Policy( 策 略 ) 
根据 风险 分 析 产 生 的 安全 策略 描述 了 系统 中 哪些 资源 需要 得 到 保护 ,以 及 如 何 实现 
对 它们 的 保护 等 ,Policy 是 PPDR 安全 模型 的 核心 。 企 业 安 全 策略 为 安全 管理 提供 管理 


方向 和 支持 手段 。 安 全 策略 描述 系统 的 安全 需求 ,以 及 如 何 组 织 各 种 安全 机 制 实现 系统 
的 安全 需求 。 
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图 1.3 PPDR 安全 模型 


2. Protection( 防 护 ) 


通过 修复 系统 漏洞 、 正 确 设计 开发 和 安装 系统 来 预防 安全 事件 的 发 生 ; 通 过 定期 检查 
来 发 现 可 能 存在 的 系统 脆弱 性 ;通过 教育 让 用 户 和 操作 员 正 确 使 用 系统 防止 意外 威胁 ; 通 
过 访问 控制 监视 等 手段 来 防止 恶意 威胁 。Protection 的 内 容 主 要 有 加 密 机 制 、 数 字 签 名 
机 制 , 访 问 控制 机 制 、 认 证 机 制 \ 信 息 隐 藏 .防火 墙 技术 等 。 


3. Detection( 检 测 ) 


检测 是 动态 响应 和 加 强 防护 的 依据 ,也 是 强制 落实 安全 策略 的 有 力 工 具 , 通 过 不 断 检 
测 和 监控 网 络 和 系统 ,来 发 现 新 的 威胁 和 弱点 ,通过 循环 反馈 来 及 时 做 出 有 效 的 响应 。 
Detection 的 内 容 主要 有 人 侵 检测 、 系 统 脆弱 性 机 制 ,数据 完整 性 机 制 ,攻击 性 检测 等 。 


4. Response( 响 应 ) 


在 安全 系统 中 占有 最 重要 的 地 位 ,是 解决 潜在 安全 性 问题 的 最 有 效 的 办 法 ,从 某 种 意 
义 上 讲 , 安 全 问题 就 是 要 解决 紧急 响应 和 异常 处 理 问题 。Response 的 内 容 主要 有 应 急 策 
略 、 应 急 机 制 \ 应 急 手 段 .人 侵 过 程 分 析 、 安 全 状态 评估 等 。 

因为 没有 一 项 防护 技术 是 完美 的 ,检测 和 响应 是 最 基本 的 ,所 以 防护 不 是 必须 的 , 检 
测 和 响应 是 必须 的 。 防 护 ,检测 和 响应 组 成 了 一 个 完整 的 ,动态 的 安全 循环 ,在 安全 策略 
的 指导 下 保证 信息 系统 的 安全 。 

后 来 美国 国防 部 又 在 PPDR 模型 基础 上 增加 了 一 个 环节 : Recovery( 人 恢复), 它 包含 
的 主要 内 容 有 : 数据 备份 .数据 恢复 .系统 恢复 等 ,这 样 PPDR 模型 就 演化 成 了 PPDRR 
安全 模型 。 又 有 研究 者 提出 上 述 五 个 环节 都 要 以 Evaluation( 评 估 ) 这 个 环节 为 基础 ,这 
就 形成 了 具有 六 个 环节 的 EPPDRR 安全 模型 。 

信息 系统 的 安全 是 基于 时 间 特 性 的 ,PPDR 安全 模型 的 特点 就 在 于 动态 性 和 基于 时 
间 的 特性 。 该 理论 的 最 基本 原理 是 : 网 络 安全 相关 的 所 有 活动 ,无 论 是 攻击 、 防 护 、 检 测 
还 是 响应 等 都 要 消耗 时 间 ,因此 可 以 用 时 间 来 衡量 一 个 系统 的 安全 性 和 安全 能 力 。 下 面 
先 定义 几 个 时 间 值 : 

(1) 攻击 时 间 Pt: 表示 黑客 从 开始 入 侵 到 侵入 系统 的 时 间 ( 对 系统 而 言 就 是 保护 时 
间 )。 高 水 平 的 人 侵 和 安全 薄弱 的 系统 都 能 使 Pt 缩短 。 
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(2) 检测 时 间 Dt: 入 侵 者 发 动人 侵 开 始 , 到 系统 能 够 检测 到 入 侵 行为 所 花费 的 时 间 。 
适当 的 防护 措施 可 以 缩短 Dt。 

(3) 响应 时 间 Rt: 从 检测 到 系统 漏洞 或 监控 ,到 非法 攻击 ,到 系统 能 够 做 出 响应 (如 
切换 、 报 警 、 跟 踪 、 反 击 等 ) 的 时 间 。 

(4) 系统 暴露 时 间 Et 二 Dt 十 Rt 一 Pt: 是 指 系统 处 于 不 安全 状态 的 时 间 。 系 统 的 检测 
时 间 和 响应 时 间 越 长 ,或 者 系统 的 保护 时 间 越 短 , 则 系统 的 暴露 时 间 越 长 ,系统 就 越 不 安 
全 。 如 果 Et 小 于 等 于 0, 那么 基于 PPDR 模型 ,认为 系统 是 安全 的 。 要 达到 安全 的 目标 
实际 上 就 是 尽 可 能 增 大 保护 时 间 ,尽量 减少 检测 时 间 和 响应 时 间 。 

PPDR 安全 模型 的 逻辑 思想 体现 在 : 要 求 检测 时 间 加 上 响应 时 间 小 于 黑客 攻击 成 功 所 
需 的 时 间 。 如 果 PPDR 模型 防范 的 对 象 是 单个 黑客 ,会 起 到 一 定 效 果 ; 如 果 防 范 对 象 是 一 个 
有 组 织 的 黑客 团队 , 则 几乎 不 能 发 挥 作 用 。 黑 客 在 发 动 分 布 式 拒绝 服务 攻击 过 程 中 ,可 以 将 
攻击 的 各 个 步骤 细 分 为 时 间 非 常 短 的 若干 个 阶段 ,而 且 攻 击 源 可 以 千变万化 ,每 一 个 阶段 占 
用 的 时 间 很 短 , 几 乎 没有 过 程 可 言 ,那么 PPDR 模型 就 很 难 防止 这 种 攻击 。 


1.8 可 信 计 算 机 系统 评价 准则 


近年 来 ,人 们 一 直 在 寻求 制定 和 努力 发 展 安全 标准 ,众多 标准 化 组 织 在 安全 需求 分 析 
指导 、 安 全 技术 机 制 开发 ,安全 评估 标准 等 方面 制定 了 许多 标准 及 草案 。1985 年 美国 国 
防 部 制定 了 计算 机 安全 标准 一 一 可 信 计 算 机 系统 评价 准则 (Trusted Computer System 
Evaluation Criteria,TCSEC) , 即 橙 皮 书 。 

橙 皮 书 中 使 用 了 可 信 计 算 基 础 (Trusted Computing Base,TCB) 这 一 概念 , 即 计算 机 
硬件 与 支持 不 可 信 应 用 及 不 可 信用 户 的 操作 系统 的 组 合体 。TCB 是 一 种 实现 安全 策略 
的 机 制 , 包 括 硬件 .固件 和 软件 ,它们 根据 安全 策略 来 处 理 主体 对 客体 的 访问 。 橙 皮 书 是 
一 个 比较 成 功 的 计算 机 安全 标准 , 它 在 较 长 的 一 段 时 间 得 到 了 广泛 的 应 用 ,并 且 也 成 为 其 
他 安全 标准 制定 的 参照 ,具有 划时代 的 意义 。 图 1.4 给 出 了 TCSEC 的 安全 级 别 示 意图 。 


D C | A 
| | | 
D cl C2 Bl B2 B3 Al 
DOS 苹果 Windows | 不 能 形式 化 
计算 机 ”UNIX | ”自行 关 
1 
民用 、 商 用 | 军 方 、 实验 室 
DAC | MAC 
带 安全 机 制 的 操作 系统 | 安全 操作 系统 
1 


1.4 TCSEC 的 安全 级 别 示 意图 


1. TCSEC 划分 的 安全 级 别 
TCSEC 把 计算 机 系统 的 安全 分 为 A、B、C、D 四 个 等 级 七 个 安全 级 别 , 按 照 由 弱 到 强 
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的 排列 顺序 是 D.C1、C2、B1、B2、B3、Al。 

(1) D: 最 低 保护 (minimal protection) , 指 未 加 任何 实际 的 安全 措施 ,整个 计算 机 系统 都 
是 不 可 信任 的 。D 系统 只 为 文件 和 用 户 提供 安全 保护 ,操作 系统 很 容易 受到 损害 。 任 何人 
不 需要 任何 账户 就 可 以 进入 系统 ,不 受 任何 限制 就 可 以 访问 他 人 文件 。D 系统 最 普遍 的 形 
式 是 本 地 操作 系统 ,或 一 个 完全 没有 保护 的 网 络 , 如 DOS、Macintosh 被 定 为 D 级 。 

(2) C: 被 动 的 自主 访问 策略 (discretionary access policy enforced) ,提供 审慎 的 保 
护 , 并 为 用 户 的 行动 和 责任 提供 审计 能 力 。 

。 C1 级: 具有 一 定 的 自主 型 访问 控制 (DAC) 机 制 ,通过 将 用 户 和 数据 分 开 达 到 安 
全 的 目的 。 它 要 求 系统 硬件 有 一 定 的 安全 保护 ,用 户 在 使 用 前 必须 登录 到 系统 ， 
并 允许 系统 管理 员 为 一 些 程序 和 数据 设 定 访 问 许可 权限 等 。 但 C1 系统 不 能 控制 
进入 系统 的 用 户 的 访问 级 别 ,用 户 可 以 直接 访问 操作 系统 的 根 目录 ,并 改变 自己 
的 权限 。 而 且 Cl 系统 中 的 所 有 文档 具有 相同 的 机 密 性 ,如 UNIX 的 owner/ 
group/other 存 取 控制 。 
C2 级 : 又 称 为 访问 控制 保护 ,具有 更 细 分 每 一 个 单独 用 户 的 DAC 机 制 , 且 引入 
了 审计 机 制 ,还 对 审计 使 用 了 身份 认证 。 在 连接 到 网 络 上 时 ,C2 系统 的 用 户 分 别 
对 各 自 的 行为 负责 。C2 系统 通过 登录 过 程 、 安 全 事件 和 资源 隔离 来 增强 这 种 控 
制 。C2 系统 可 以 进一步 限制 用 户 执 行 某 些 命令 或 访问 某 些 文件 的 权限 ,而 且 还 
加 入 了 身份 认证 级 别 ( 即 对 用 户 分 组 )。 能 够 达到 C2 级 的 操作 系统 有 UNIX、 
XENIX 和 Windows NT 以 后 的 版 本 。 

(3) B: 被 动 的 强制 访问 策略 (mandatory access policy enforced),B 系统 具有 强制 性 
保护 功能 ,目前 很 少 有 操作 系统 能 够 符合 B 级 标准 。 

。 Bl1 级 : 满足 C2 级 的 所 有 要 求 , 还 需 具 有 所 用 安全 策略 模型 的 非 形式 化 描述 , 实 
施 了 强制 型 访问 控制 (MAC)。 对 象 (如 盘 区 和 文件 服务 器 目录 ) 必 须 在 访问 控制 
之 下 ,系统 不 允许 拥有 者 更 改 它们 的 权限 。 特 定 政府 机 构 和 系统 安全 外 包 商 是 
Bl 计算 机 系统 的 主要 拥有 者 。 
B2 级 : 系统 的 TCB 基于 明确 定义 的 形式 化 模型 ,并 对 系统 中 所 有 的 主体 和 客体 
实施 了 DAC 和 MAC。 要 求 计算 机 系统 中 的 所 有 对 象 都 加 标签 ,而 且 给 设备 ( 磁 
盘 、 磁 带 和 终端 ) 分 配 单个 或 多 个 安全 级 别 。 另 外 ,具有 可 信 通 路 机 制 . 系 统 结构 
化 设计 、 最 小 特权 管理 以 及 对 隐藏 通道 的 分 析 和 处 理 。 
B3 级 : 系统 的 TCB 设计 要 满足 能 对 系统 中 所 有 的 主体 和 客体 的 访问 进行 控制 ， 
TCB 不 会 被 非法 算 改 , 且 TCB 设计 得 要 小 巧 且 结构 化 以 便于 分 析 和 测试 其 正确 性 。 
支持 “安全 管理 者 ”的 实现 ,审计 机 制 能 实时 报告 系统 的 安全 性 事件 ,支持 系统 恢复 。 
内 存 管理 硬件 用 于 保护 安全 域 免 遭 无 授权 访问 或 其 他 安全 域 对 象 的 修改 。 

(4) A: 形式 化 证 明 的 安全 (formally proven security) 。 

Al 级 : 类 似 于 B3 级 ,包括 一 个 严格 的 设计 、 控 制 和 验证 过 程 。 设 计 必须 是 从 数学 角 
度 经 过 验证 的 。 它 的 特色 在 于 形式 化 的 顶层 设计 规格 FTDS ,形式 化 验证 FTDS 与 形式 
化 模型 的 一 致 性 和 由 此 带 来 的 更 高 的 可 信 度 。 
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2. TCSEC 的 局 限 性 


TCSEC 只 能 用 来 衡量 单机 系统 平台 的 安全 级 别 , 不 同 计算 机 系统 可 以 根据 需要 和 可 
能 选用 安全 强度 不 同 的 标准 。TCSEC 是 第 一 代 安 全 评价 标准 ,即使 在 世界 上 也 都 存在 着 
对 它 优 劣 的 争论 ,以 下 是 已 得 到 公认 的 对 TCSEC 局 限 性 的 认识 : 

(1) TCSEC 是 针对 无 漏洞 和 无 人 侵 系统 制定 的 分 级 标准 , 它 不 是 基于 时 间 , 而 是 基 
于 功能 .角色 ,规则 等 。TCSEC 仅仅 是 为 了 防护 ,但 对 防护 的 安全 功能 如 何 检查 以 及 检查 
出 的 安全 漏洞 又 如 何 弥补 和 反应 等 则 没有 讨论 。 

(2) TCSEC 主要 针对 小 型 和 大 型 计算 机 制定 的 测评 标准 , 它 的 网 络 解释 目前 缺少 成 
功 的 实践 支持 ,尤其 对 互联 网 很 少 有 成 功 的 实例 支持 。 

(3) TCSEC 主要 用 于 军事 和 政府 信息 系统 ,对 于 个 人 和 商用 系统 采用 这 个 方案 是 有 
困难 的 ,也 就 是 说 其 安全 性 主要 是 基于 机 密 性 制定 的 ,对 完整 性 和 可 用 性 的 支持 不 够 , 忽 
略 了 不 同行 业 的 计算 机 应 用 的 安全 性 差别 。 

(4) 安全 的 本 质 之 一 是 管理 ,而 TCSEC 缺少 对 保障 的 讨论 。 

(5) TCSEC 的 安全 策略 是 固定 的 ,缺少 对 安全 威胁 的 针对 性 ,其 安全 策略 不 能 针对 
不 同 的 安全 威胁 实施 相应 的 组 合 。 

(6) TCSEC 测评 的 可 操作 性 较 差 ,缺少 测评 方法 ,框架 和 具体 标准 的 支持 。 

1987 年 6 月 ,美国 国防 部 计算 机 安全 评估 中 心 (NCSC) 首 次 发 表 了 可 信 计 算 机 网 络 
安全 说 明 (TNI, 又 称 红皮书 ) ,该 说 明 是 在 TCSEC 的 基础 上 增加 了 网 络 安全 评价 的 内 
容 。 借 用 TCSEC 中 的 TCB 的 概念 ,在 可 信 网 络 安全 说 明 中 也 建立 了 网 络 可 信 计 算 基 础 
NTCB, 它 是 由 所 有 与 网 络 安全 有 关 的 部 分 组 成 。 网 络 系统 也 相应 地 被 划分 为 7 个 安全 
等 级 ,基本 上 与 TCSEC 的 7 个 等 级 相对 应 。 由 于 网 络 还 存在 对 外 提供 服务 的 问题 , 因 
此 ,对 网 络 系统 的 安全 要 求 除了 对 网 络 各 个 安全 等 级 的 具体 要 求 外 ,还 包括 对 网 络 安全 服 
务 的 具体 要 求 。 但 是 红皮书 主要 说 明 联 网 环境 的 安全 功能 要 求 , 较 少 阑 明 保证 要 求 。 


1.9 信息 系统 安全 保护 等 级 划分 准则 


公安 部 1999 年 制定 了 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》, 已 于 2001 年 1 月 
1 日 执行 。 它 是 我 国 计 算 机 信息 系统 安全 等 级 保护 系列 标准 的 核心 和 保护 制度 建立 的 重 

该 准则 参考 了 TCSEC 模型 ,在 TCSEC 的 7 个 安全 等 级 中 ,D 级 是 没有 安全 机 制 的 
级 别 ,Al 级 是 难以 达到 的 安全 级 别 。 所 以 在 我 国 的 安全 准则 中 ,去 掉 了 这 两 个 级 别 , 对 
其 他 5 个 级 别 也 赋予 了 新 意 。 该 准则 将 信息 系统 安全 从 低 到 高 划分 为 如 下 5 个 等 级 , 计 
算 机 信息 系统 安全 保护 能 力 随 着 安全 保护 等 级 的 增高 而 逐渐 增强 。 

第 一 级 : 用 户 自主 保护 级 。 它 的 安全 保护 机 制 使 用 户 具备 自 主 安全 保护 的 能 力 ,对 
用 户 实施 访问 控制 ,保护 用 户 和 用 户 组 信息 .保护 用 户 的 信息 免 受 非法 的 读 写 破坏 。 

第 二 级 : 系统 审计 保护 级 。 除 具备 第 一 级 所 有 的 安全 保护 功能 外 ,还 实施 了 更 细 的 
自主 访问 控制 ,要 求 创建 和 维护 访问 的 审计 跟踪 记录 ,通过 登录 规程 .审计 与 安全 有 关 的 
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事件 和 隔离 设施 等 措施 ,使 所 有 的 用 户 对 自己 行为 的 合法 性 负责 。 

第 三 级 : 安全 标记 保护 级 。 除 继承 前 一 个 级 别 的 安全 功能 外 ,还 提供 有 关 安 全 策略 
模型 数据 标记 以 及 主体 对 客体 访问 控制 的 非 形式 化 描述 ,要 求 以 访问 对 象 标记 的 安全 级 
别 限 制 访问 者 的 访问 权限 ,实现 对 访问 对 象 的 强制 访问 。 

第 四 级 : 结构 化 保护 级 。 在 继承 前 面 安全 级 别 的 安全 功能 的 基础 上 ,将 安全 保护 机 
制 划分 为 关键 部 分 和 非 关键 部 分 ,对 关键 部 分 直接 控制 访问 者 对 访问 对 象 的 存 取 , 从 而 加 
强 系 统 的 抗 渗透 能 力 。 还 要 求 将 第 三 级 系统 中 的 自主 访问 控制 和 强制 访问 控制 扩展 到 所 
有 主体 和 客体 , 且 要 考虑 隐藏 通道 。 

第 五 级 : 访问 验证 保护 级 。 这 一 个 级 别 特别 增设 了 访问 验证 功能 ,负责 仲裁 对 访问 
对 象 的 所 有 访问 活动 。TCB 应 满足 访问 监控 器 (reference monitor) 需 求 ,访问 监控 器 本 
身 要 具备 抗 自 改 性 , 且 必 须 足够 小 ,能 够 分 析 和 测试 。 

信息 系统 安全 保护 等 级 划分 准则 的 主要 安全 考核 指标 有 身份 认证 、 自 主 访问 控制 、 数 
据 完整 性 审计 隐藏 通道 分 析 、 客 体重 用 ,强制 访问 控制 安全 标记 、 可 信和 路 径 和 可 信人 恢复 
等 ,这 些 指标 涵盖 了 不 同 级 别 的 安全 要 求 。 


习题 


.信息 安全 主要 包括 哪 四 个 层面 的 内 容 ? 
.什么 是 信息 安全 ? 什么 是 网 络 安 全 ? 
. 何 为 重 放 攻 击 ? 试 举例 说 明 。 
. ARP、IP、TCP、DNS 等 协议 有 哪些 主要 的 安全 问题 ? 
5. OSI 安全 体系 结构 中 定义 了 哪些 安全 服务 ? 哪些 安全 机 制 ? 安全 服务 和 安全 机 
制 之 间 存 在 什么 关系 ? 试 举例 说 明 。 
6. 什么 是 “信息 量 分 析 ” 攻 击 ? 用 OSI 八 种 安全 机 制 中 的 哪 一 种 可 以 防止 这 种 攻击 ? 
7. 网 络 信息 安全 需求 包含 哪 六 个 基本 方面 ? 分 别 简单 说 明 它们 的 含义 。 
8. 请 思考 本 章 所 述 的 各 种 网 络 安全 威胁 会 分 别 危及 六 种 网 络 安全 服务 中 的 哪 一 种 ? 
9. 请 体会 为 什么 信息 安全 是 一 个 多 学 科 交叉 的 领域 ,为 什么 很 难 仅 在 一 个 学 科 领 域 
内 提供 全 部 的 六 种 安全 服务 。 
0. 考虑 在 网 络 协议 栈 的 不 同 层 次 实现 的 网 络 安全 协议 分 别 具 有 哪些 优点 和 缺点 ? 
1. 什么 是 PPDR 安全 模型 ? 它 包 含 哪 几 个 部 分 ? 作为 一 种 安全 模型 , 它 有 哪 几 个 
方面 的 特点 ? 它 的 时 间 特 性 是 怎么 体现 出 来 的 ? 
2. 本 章 所 述 的 八 种 安全 机 制 分 别 是 属于 防护 、 检 测 和 响应 机 制 的 哪 一 种 ? 
3. TCSEC 又 叫 什么 ? 严格 地 说 , 它 是 一 个 计算 机 安全 标准 还 是 网 络 安全 标准 ? 
TCSEC 有 哪些 局 限 性 ? 
4. 查找 资料 ,研究 什么 是 可 信 计 算 基 础 TCB, 它 包含 哪些 内 容 ? 它 在 安全 操作 系统 
中 起 到 什么 作用 ? 
5. C 类 与 也 类 的 计算 机 系统 在 安全 性 上 的 主要 区 别 是 什么 ? 


六 co oo 一 


第 2 章 网 络 安全 威胁 


第 1 章 介绍 了 目前 一 些 主要 的 网 络 安全 威胁 ,这 些 威胁 出 现 的 原因 主要 是 黑客 的 网 络 
攻击 技术 的 不 断 发 展 , 所 以 必须 进一步 研究 网 络 安全 威胁 和 常见 的 黑客 攻击 技术 。 目 前 网 
络 安全 领域 的 研究 越 来 越 注 重 攻防 结合 ,于 是 网 络 安全 形成 了 两 个 完全 不 同 的 角度 和 方向 ; 
攻击 技术 和 防御 技术 ,两 者 相辅相成 , 互 为 补充 。 研 究 黑客 常用 攻击 手段 和 工具 并 利用 它们 
对 网 络 进行 模拟 攻击 , 找 出 网 络 的 安全 漏洞 ,也 必然 为 防御 技术 提供 新 的 思路 。 

网 络 攻击 过 程 有 多 个 阶段 ,多 种 技术 ,但 没有 一 个 统一 的 定式 。 网 络 攻击 技术 本 身 发 
展 很 快 ,目前 可 行 的 技术 可 能 很 快 就 过 时 了 。 网 络 攻击 技术 过 时 的 原因 主要 是 相应 的 网 
络 防御 技术 发 展 也 很 快 , 反 之 亦 然 。 


2.1 隐藏 攻击 者 的 地 址 和 身份 


1. IP 地 址 欺骗 或 盗用 技术 


因为 TCP/IP 协议 路 由 机 制 只 检查 数据 包 目 标 地址 的 有 效 性 ,所 以 攻击 者 可 以 定制 一 
个 虚假 的 源 他 地址 ,从 而 避免 网 络 安全 管理 人 员 的 他 地址 追踪 。 一 些 访问 控制 系统 通过 
卫 地 址 控制 对 网 络 服务 的 访问 ,攻击 者 可 以 修改 本 机 IP 地 址 ,从 而 绕 过 访问 控制 系统 。 


2. MAC 地 址 盗用 技术 


尽管 相对 IP 地 址 的 盗用 来 说 ,MAC 地 址 的 盗用 相对 困难 得 多 ,但 是 仍然 可 以 用 一 定 
的 技术 修改 主机 的 MAC 地 址 。 在 Windows 系统 中 ,除了 网 卡 的 EPROM 外 ,MAC 地 址 
还 保存 在 注册 表 中 ,而 发 出 的 数据 包 中 的 源 MAC 地 址 , 正 是 从 注册 表 中 读 取 的 。 所 以 只 
需 修 改 注册 表 ,就 可 进行 MAC 地 址 盗用 。Linux 更 改 MAC 地 址 只 需 使 用 ifconfig 命令 。 


3. 通过 Proxy 隐藏 技术 


网 络 攻击 者 收集 目标 信息 时 ,常常 通过 免费 代理 服务 器 (Proxy) 进 行 ,这 样 做 的 目的 
是 以 Proxy 为 “攻击 跳板 ”, 即 使 被 攻击 目标 的 网 络 管理 员 发 现 ,也 难以 追踪 到 网 络 攻击 者 
的 真实 身份 或 IP 地 址 ,例如 ,Windows 计算 机 可 以 利用 Wingate 软件 作为 攻击 跳板 。 但 
如 果 Proxy 有 详细 的 访问 日 志 记 录 , 那 么 攻击 者 的 源 IP 地 址 就 能 够 追踪 到 。 考 虑 到 这 个 
因素 ,网 络 攻击 者 还 会 用 多 级 Proxy 或 者 “跳板 主机 ”来 攻击 目标 。 


4. 网 络 地 址 转换 技术 


由 于 公有 IP 地 址 的 荐 乏 ,所 以 目前 很 多 局 域 网 的 主机 使 用 的 都 是 私有 IP 地 址 。 这 
样 ,内 网 主机 相互 之 间 通 信 时 只 需要 使 用 私有 IP 地 址 ,只 有 在 与 外 网 主机 通信 时 才 需 要 
把 私有 IP 地 址 转换 成 可 以 路 由 的 公有 IP 地 址 ,这 就 叫做 网 络 地 址 转换 (NAT) 。 实 际 上 
NAT 也 具有 对 外 部 网 络 隐藏 用 户 私有 IP 地 址 和 内 部 网 络 拓扑 结构 的 效果 ,因此 NAT 
也 能 起 到 隐藏 攻击 者 地 址 和 身份 的 作用 。 
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5. 盗用 他 人 网 络 账户 技术 


网 络 攻击 者 为 了 转移 网 络 安全 管理 人 员 的 视线 ,常常 盗用 他 人 的 网 络 账户 进行 攻击 ， 
例如 ,通过 监听 网 络 线路 获得 网 络 管理 人 员 的 账号 和 口令 ,然后 利用 此 账号 进入 系统 。 


2.2 踩点 技术 


黑客 必须 尽 可 能 地 收集 目标 系统 安全 状况 的 各 种 信息 ,形成 对 目标 网 络 必要 的 轮廓 
性 认识 ,并 为 实施 攻击 做 好 准备 ,这 一 过 程 被 形象 地 称 为 “踩点 ”(footprinting)。 通 常 采 
用 Whois、Finger、Nslookup 等 工具 获得 目标 的 一 些 信息 ,如 域名 、IP 地 址 .DNS 服务 器 、 
邮件 服务 器 、 网 络 拓 扑 结 构 ,相关 的 用 户 信 息 等 。 这 往往 是 黑客 入 侵 所 做 的 第 一 步 准 备 工 
作 , 注 意 此 阶段 获取 的 都 是 已 经 公开 的 信息 ,采用 的 技术 也 是 合法 的 。 

Whois 数据 库 查询 可 以 获得 很 多 关于 目标 系统 的 注册 信息 , DNS 查询 (如 用 
Windows/ UNIX 上 提供 的 Nslookup 命令 行 工具 ) 也 可 以 获得 关于 目标 系统 域名 、IP 地 
址 .DNS 服务 器 、 邮 件 服务 器 等 有 用 信息 。 此 外 还 可 以 用 Traceroute 工具 获得 一 些 网 络 
拓扑 和 路 由 信息 。 


2.3 ”扫描 技术 


当 黑 客 通过 踩点 得 到 关于 目标 网 络 的 敏感 信息 后 ,下 一 步 可 以 利用 许多 现成 的 工具 ， 
对 目标 网 络 进行 有 针对 性 的 扫描 (scanning) ,扫描 的 最 终结 果 决 定 了 他 们 能 否 对 目标 网 
络 进 行 攻击 。 在 扫描 阶段 ,我 们 将 使 用 各 种 工具 和 技巧 (如 Ping 扫描 、 端 口 扫 描 以 及 操作 
系统 探测 等 ) 确 定 哪些 系统 是 存活 的 ,它们 在 监听 哪些 端口 (以 此 来 判断 它们 在 提供 哪些 
服务 ) ,甚至 更 进一步 地 获知 它们 运行 的 是 什么 操作 系统 。 当 然 扫描 也 可 以 被 管理 员 用 于 
对 系统 进行 安全 管理 ,扫描 过 程 一 般 可 分 为 如 下 几 个 阶段 。 


2.3.1 主机 扫描 


一 般 使 用 操作 系统 自 带 的 工具 Ping 实现 对 主机 的 扫描 (host scanning) ,Ping 扫描 采 
用 的 是 发 送 ICMP echo 请 求 分 组 到 目标 主机 ,如 果 收 到 ICMP echo 应 答 则 表明 目标 主机 
是 激活 的 ,UNIX 和 Windows 中 都 有 众多 的 工具 来 执行 Ping 扫描 。 改 进 的 Ping 扫描 工 
有 具 (如 Fping 等 ) 则 以 一 种 并 行 的 轮转 形式 发 送 大 量 的 Ping 请 求 , 这 样 一 来 扫描 速度 就 明 
显 加 快 。 但 现在 由 于 防火 墙 的 存在 ,对 Ping 扫描 的 请 求 不 一 定 有 应 答 ,Ping 扫描 的 结果 
也 就 不 一 定 准确 了 。 


2.3.2 端口 扫描 


通过 Ping 扫描 获得 一 台 激 活 的 主机 后 ,就 可 以 进行 端口 扫描 (port scanning)。 根 据 
被 扫描 主机 返回 的 信息 不 同 ,端口 扫描 不 仅 能 够 确定 主机 上 开放 的 网 络 服务 ,还 能 进一步 
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确定 它 是 否 真正 处 于 激活 状态 。 扫 描 者 不 仅 能 获得 目标 主机 对 外 开放 的 TCP 和 UDP 端 
口 列 表 , 而 且 还 能 通过 一 些 连接 测试 得 到 监听 端口 返回 的 Banner 信息 。 端 口 扫描 通常 采 
用 Nmap 等 扫描 工具 ,可 以 获得 目标 计算 机 的 一 些 有 用 信息 ,例如 机 器 上 打开 了 哪些 端 
口 ,这 样 就 知道 它 开 放 了 哪些 网 络 服务 。 黑 客 就 可 以 利用 这 些 服务 的 漏洞 ,进行 进一步 的 
入 侵 。 这 往往 是 黑客 人 侵 所 做 的 第 二 步 工 作 。 常 见 的 端口 扫描 类 型 如 表 2. 1 所 示 。 


表 2.1 端口 扫描 的 类 型 


序号 | ”扫描 类 型 扫描 现象 判断 结果 | 优 点 缺 点 
Client>SYN 
5 er 不 需 特殊 权 
CE Client>ACK 
1 | 扫描 (完全 连接 | 限 , 可 得 到 Re 
扫描 ) Client ~SYN Banner 信息 
Server ~RST|ACK 端口 未 开放 
Client>RST 
Client-=SYN 


重 置 连接 扫描 隐蔽 ，| 需 管理 员 权限 来 定 


Server>SYN 
TCP-SYN () 扫 | Server™: ph 端口 开放 | 不 会 留 下 日 | 制 TCP 包头 ; 误 报 


2 | 描 ( 半 连接 扫 | Client>RSTI 


描 ) 志 记 录 , 速 | 较 多 ,被 扫描 的 旧 
Client>SYN 度 比较 快 系统 容易 产生 崩溃 
Server>~RSTIACK 端口 未 开放 
Client>SYN| ACK 
端口 未 开放 | 不 会 被 包 过 
RST : 
3 | SYNIACK 扫描 | 六 弄 防火 寺 | 名 能 变 汪 状态 检测 
Client>SYN|ACK Pe ert 
Server™> 一 
Client>FIN 
Server>RST 端口 未 开放 | 不 会 被 日 志 | 只 适用 于 UNIX 系 
4 | TCP-FIN 扫描 二 统 ( 可 以 区 分 UNIX 
9 端口 开放 和 Windows) 
Client>FIN| URG|PSH - 
Server>RST 端口 未 开放 | 不 会 被 日 志 | 只 适用 于 UNIX 系 
5 | TCP-Xmas 扫描 - 记录 统 ( 可 以 区 分 UNIX 
ClientFINIURGIPSH | 端口 开放 ee 


Server™> 一 


Client> 所 有 标志 位 置 

0 的 TCP 包 端口 未 开放 
Server>RST ” 只 适用 于 UNIX 系 
不 会 被 日 志 | 统 (可 以 区 分 UNIX 


6 TCP-Null 扫描 


Client-= 所 有 标志 位 置 是 过 和 Windows) 
0 的 TCP 包 端口 开放 

Server> 一 

Client=UDP 包 tede ds 

Server ICMP_PORT | 端口 未 开放 ee le pe 0 

UNREACHABLE 和 | 
7 | UDP 扫描 a UDP 扫描 进 | 都 不 会 发 ICMP 

Client>UDP 包 端口 开放 行 过 滤 的 防 | 包 ; 防火 墙 禁止 


Server > 一 火 墙 ICMP 通过 ) 
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除 完 全 连接 扫描 外 ,所 有 的 扫描 类 型 都 是 隐蔽 扫描 ,它们 是 为 了 对 抗 主机 日 志 审计 系 
统 而 发 展 起 来 的 ,但 隐蔽 扫描 更 容易 产生 误 报 。 攻 击 者 通常 使 用 多 种 扫描 技术 进行 多 次 
扫描 ,并 将 这 些 扫 描 结果 进行 比较 ,以 避免 误 报 。 然 而 随 着 入侵 检测 技术 的 发 展 ,由 于 隐 
项 扫描 明显 违反 协议 规则 ,在 网 络 流量 中 非常 醒目 ,就 变 得 不 再 隐蔽 。 目 前 看 来 ,端口 扫 
描 需要 足够 耐心 ,如果 对 同一 主机 的 不 同 端口 进行 分 布 式 扫 描 , 且 间隔 时 间 足 够 长 ,那么 
几乎 没有 可 靠 的 办 法 能 检测 出 来 。 


2.3.3 操作 系统 探测 


操作 系统 探测 (operate system probing) 是 一 种 可 以 探测 目标 主机 操作 系统 类 型 的 扫 
描 技术 ,也 称 为 协议 栈 指纹 鉴别 (TCP stack fingerprinting)。 为 什么 会 产生 操作 系统 探 
测 这 种 扫描 方式 呢 ? 众所周知 ,TCP 协议 的 实现 是 有 RFC 标准 可 依 的 ,因此 绝 大 多 数 情 
形 , 按 标准 实现 的 协议 表现 应 该 相同 。 但 由 于 以 下 原因 ,各 个 操作 系统 实现 的 协议 栈 细节 
是 不 同 的 : 对 RFC 相关 文件 规范 和 条 文 的 理解 不 同 ;TCP/IP 规范 并 不 被 严格 执行 ,每 个 
实现 都 有 自己 特点 ;规范 中 本 来 就 有 一 些 选择 性 的 特性 可 能 只 在 某 些 系 统 使 用 ; 某 些 系统 
还 私自 对 IP 协议 做 了 改进 。 

因此 黑客 可 以 对 目标 主机 发 出 操作 系统 探测 包 , 由 于 不 同 操作 系统 厂商 的 TCP/IP 
协议 栈 实 现 上 存在 细微 差别 ,因此 每 种 操作 系统 对 探测 包 都 有 其 独特 的 响应 方法 ,黑客 经 
常 能 够 根据 返回 的 响应 包 来 确定 目标 主机 运行 的 操作 系统 类 型 。 常 用 的 协议 栈 指纹 包括 
TTL 值 \TCP 窗口 大 小 .DF 标志 .TOS IP 碎片 .ACK 值 `TCP 选项 等 。 

此 外 还 可 以 利用 Ping 扫描 命令 进行 简单 的 操作 系统 探测 : 根据 所 返回 数据 包 的 
TTL 值 的 细微 差别 ,来 确定 目标 主机 的 操作 系统 。 如 果 TTL 值 接近 256 就 可 能 是 
UNIX 系统 ;如 果 TTL 值 接近 128 就 有 可 能 是 Windows 系统 ;如 果 TTL 值 接近 64 就 有 
可 能 是 Linux 系统 。 但 是 这 种 探测 的 准确 性 不 是 很 高 。 


2.3.4 漏洞 扫描 


漏洞 是 指 计算 机 或 网 络 系统 具有 的 某 种 可 能 被 人 侵 者 恶意 利用 的 特性 ,在 网 络 安全 
领域 ,安全 漏洞 通常 又 被 称 作 脆弱 性 (vulnerability) 。 漏 洞 扫描 (hole scanning) 是 针对 特 
定 应 用 和 服务 (如 Web 服务 器 .操作 系统 、 数 据 库 服务 器 .防火墙 .路 由 器 ) 查 找 目标 网 络 
中 有 哪些 漏洞 ,并 从 中 抽取 有 效 账 号 或 导出 资源 名 ,这 些 信 息 很 可 能 成 为 目标 系统 的 祸 
根 。 通 常 ,网 络 或 主机 中 存在 的 安全 漏洞 是 攻击 者 成 功 实施 攻击 的 关键 。 

例如 ,一 旦 漏洞 扫描 查 出 一 个 有 效用 户 名 或 共享 资源 ,攻击 者 猜 出 对 应 的 口令 或 利用 
与 资源 共享 协议 关联 的 某 些 脆 弱点 通常 就 只 是 一 个 时 间 问 题 了 。 漏洞 扫描 技巧 差不多 都 
是 特定 于 操作 系统 的 。 根 据 使 用 者 不 同 ,漏洞 扫描 从 实现 原理 上 分 为 从 外 部 的 扫描 和 从 
内 部 的 扫描 。 能 够 从 主机 系统 内 部 检测 系统 配置 的 缺陷 ,是 系统 管理 员 的 漏洞 扫描 器 与 
黑客 的 漏洞 扫描 器 在 技术 上 的 最 大 区 别 。 
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2.4 嗅 探 技 术 


在 真正 的 网 络 攻击 之 前 一 般 还 会 使 用 嗅 探 (sniffing) 技 术 , 从 技术 本 身 来 说 , 它 既 
可 以 用 于 网 络 攻击 ,也 可 以 用 于 网 络 防范 。 对 黑客 来 说 ,使 用 嗅 探 技 术 可 以 非常 隐蔽 
地 摆 取 网 络 中 传输 的 大 量 敏 感 信息 (如 用 户 账号 和 口令 ), 是 一 种 有 效 的 被 动 攻击 技 
术 ,与 主动 攻击 技术 相 比 , 嗅 探 行为 更 难 被 察觉 ,也 更 容易 实现 ;对 安全 管理 人 员 来 说 ， 
借助 嗅 探 技 术 则 可 以 对 网 络 活动 进行 实时 监控 ,并 及 时 发 现 各 种 网 络 攻击 行为 (如 会 
话 支持 ) ,也 就 是 能 进行 网 络 人 侵 检 测 。 当 然 ,在 网 络 上 能 够 实现 嗅 探 的 最 佳 位 置 是 网 
关 、 路 由 器 .防火墙 等 网 络 设备 ,但 是 这 些 设备 一 般 很 难 被 黑客 攻 入 。 所 以 一 般 只 能 对 
同一 局 域 网 主机 实施 嗅 探 ,而 目前 的 以 太 局 域 网 分 为 共享 式 和 交换 式 , 所 以 嗅 探 技 术 
也 相应 地 分 为 两 种 : 

(1) 以 前 使 用 的 共享 式 局 域 网 的 数据 传输 是 通过 广播 方式 实现 的 ,通常 一 个 共享 局 
域 网 的 所 有 网 络 接口 都 有 访问 在 物理 链 路 上 传输 的 所 有 数据 的 能 力 , 但 是 在 系统 正常 工 
作 时 ,网 卡 驱 动 程序 会 判断 所 接收 到 的 数据 包 的 目的 地 址 ,如 果 目 的 地 址 不 是 本 地 主机 ， 
数据 包 将 会 被 丢弃 。 目 的 地 址 是 本 地 主机 的 数据 包 将 被 传 到 上 层 进一步 处 理 。 在 这 种 环 
境 中 ,可 以 将 网 卡 的 工作 模式 设置 成 混杂 (promiscuous) 模 式 ,这 样 局 域 网 上 传输 的 所 有 
数据 会 被 全 部 接收 ,然后 对 数据 进行 过 滤 和 解码 就 看 到 数据 包 内 容 。 

(2) 目前 使 用 较 多 的 是 交换 式 局 域 网 ,其 中 的 交换 机 不 会 将 发 往 单个 地 址 的 数据 包 
向 所 有 端口 传送 ,所 以 避免 了 利用 网 卡 混杂 模式 进行 的 嗅 探 。 尽 管 普 通 的 网 卡 混杂 模式 
的 嗅 探 器 (如 wireshark) 在 交换 网 络 中 不 再 有 效 ,但 也 有 一 类 特殊 的 嗅 探 器 (如 ARP 欺骗 
工具 ) ,它们 利用 交换 网 络 中 不 可 避免 的 一 些 设计 缺陷 ,伪装 成 网 关 进 行 网 络 嗅 探 ,监听 发 
送 给 其 他 主机 的 数据 包 内 容 , 使 交换 机 形同虚设 。 

黑客 可 以 在 共享 局 域 网 中 将 自己 主机 的 网 卡 设置 成 混杂 模式 ,或 在 交换 局 域 网 自己 
主机 上 使 用 ARP 欺骗 工具 ,就 能 够 接收 局 域 网 上 传输 的 所 有 数据 包 , 以 便 截获 其 他 用 户 
的 账号 和 口令 等 信息 。 这 往往 是 黑客 人 侵 的 第 三 步 工 作 。 虽 然 嗅 探 能 得 到 局 域 网 中 传送 
的 大 量 数据 ,如 果 不 加 选择 地 接收 所 有 的 数据 包 , 并 且 进 行 长 时 间 的 监听 ,那么 需要 分 析 
的 数据 量 是 非常 巨大 的 ,并 且 会 浪费 大 量 硬盘 空间 。 


2.5 攻击 技术 


从 黑客 攻击 的 目的 来 看 ,无 非 是 两 种 : 给 目标 以 致命 打击 ,虽然 黑客 自己 不 一 定 得 到 
直接 利益 ,但 能 让 目标 系统 受 损 甚至 瘫 痰 ,如 拒绝 服务 攻击 ;更 多 的 目的 在 于 获取 直接 的 
利益 ,如 截取 到 目标 系统 的 机 密 信息 ,或 者 得 到 目标 系统 的 最 高 控制 权 。 在 此 过 程 中 , 黑 
客 无 意 对 目标 系统 的 正常 工作 能 力 进行 破坏 ,他 可 能 更 希望 非常 隐蔽 地 实现 自己 的 目的 。 
目前 主要 的 黑客 攻击 技术 (attack technology) 有 如 下 几 种 。 
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2.5.1 社会 工程 


社会 工程 (social engineering) 的 核心 是 ,攻击 者 伪装 自己 的 身份 并 设法 让 受害 人 泄 
露 系统 的 信息 。 它 是 一 种 低 技术 含量 破坏 网 络 安全 的 有 效 方法 ,但 其 实 是 高 级 黑客 技术 
的 一 种 ,往往 使 得 看 似 处 在 严密 防护 下 的 网 络 系统 出 现 致命 的 突破 口 。 这 种 技术 是 利用 
说 服 或 欺骗 的 方式 ,让 网 络 内 部 的 人 (如 安全 意识 薄弱 的 职员 ) 来 提供 必要 的 信息 ,从 而 获 
得 对 信息 系统 的 访问 。 记 住 ,攻击 者 总 是 从 网 络 安全 链 路 上 的 最 薄弱 环节 来 人 侵 的 ,人 类 
那 种 天 生 愿 意 相 信 他 人 说 辞 的 倾向 让 大 多 数 人 容易 被 这 种 手段 所 利用 。 

社会 工程 不 是 一 门 科 学 ,而 是 一 门 艺术 和 和 窗 门 的 方法 。 利 用 社会 工程 手段 突破 安全 
防御 措施 的 事件 ,已 呈现 上 升 甚至 泛滥 的 趋势 。 一 些 信息 安全 专家 预言 ,社会 工程 将 会 是 
未 来 信息 系统 入 侵 与 反 人 侵 的 重要 对 抗 领域 。 凯 文 。 米 特 尼克 (Kevin Mitnick) 所 著 的 
《欺骗 的 艺术 》(The Art of Deception) 堪 称 社会 工程 学 的 经 典 。 书 中 详细 地 描述 了 许多 
运用 社会 工程 手段 人 侵 网 络 的 方法 ,这 些 方法 并 不 需要 太 多 的 技术 基础 ,但 可 怕 的 是 ,一 
旦 懂得 如 何 利 用 人 类 的 弱点 (如 轻信 ,健忘 、 胆 小 、 贪 便宜 等 ) 就 可 以 轻易 地 潜入 防护 最 严 
密 的 网 络 系统 。 

免费 下 载 软件 中 绑 定 流 谍 软 件 、 免 费 音乐 中 包含 病毒 和 网 络 钓 鱼 、 垃 圾 电子 邮件 中 包 
含 间 谍 软 件 等 ,都 是 近来 社会 工程 的 代表 应 用 。 


2.5.2 口令 破解 


攻击 者 可 以 通过 获取 口令 文件 然后 使 用 口令 破解 (password cracking) 工 具 进 行 字典 
攻击 或 暴力 攻击 来 获得 口令 ;也 可 通过 猜测 或 穷 听 (如 嗅 探 技 术 ) 等 方式 获取 口令 ;还 可 以 
通过 键盘 记录 器 或 社会 工程 方法 获取 口令 ,从 而 进入 系统 进行 非法 访问 ,所 以 选择 安全 的 
口令 非常 重要 。 这 可 能 是 黑客 人 侵 中 最 常见 的 一 种 攻击 方式 ,也 常常 是 网 络 安全 链 路 中 
最 薄弱 的 链接 。 

一 般 使 用 散 列 算法 实现 口令 的 加 密 ,口令 的 散 列 值 都 具有 单 向 不 可 逆 的 特性 ,从 算法 
本 身 去 破解 口令 散 列 值 难度 很 大 。 但 是 由 于 散 列 算法 是 公开 的 ,从 正 向 进行 猜测 也 是 现 
实 的 。 因 为 许多 用 户 在 选择 口令 时 ,习惯 性 地 选用 一 些 容 易 记 忆 且 带 有 明显 特征 的 口令 。 
黑客 可 以 制作 一 个 字典 文件 ,字典 中 都 是 一 些 经 常 被 用 做 口令 的 字符 串 ,将 这 些 字符 串 逐 
一 用 和 系统 的 散 列 算法 相同 的 方法 进行 散 列 .然后 和 口令 文件 中 的 条 目 进 行 匹配 。 如 果 
相同 ,该 字符 串 就 是 一 个 合法 口令 。 有 具体 破解 口令 的 方式 有 手工 猜测 .字典 攻击 、 暴 力 攻 
击 ` 组 合 攻击 等 。 

许多 网 络 应 用 对 于 一 个 多 次 登录 失败 的 用 户 账 号 进行 锁定 ,一般 这 样 的 登录 次 数 被 
限定 为 3 一 5 次 :以 防止 口令 猜测 攻击 。 但 是 攻击 者 可 以 利用 这 种 安全 措施 阻止 合法 用 户 
的 登录 ,有 时 甚至 root 或 administrator 等 特权 账号 都 可 能 成 为 攻击 的 目标 ,这 又 将 会 使 
系统 处 于 拒绝 服务 状态 下 。 


2.5.3 IP 欺骗 


攻击 者 可 通过 伪装 成 被 信任 主机 的 方式 来 骗取 目标 主机 的 信任 ,这 主要 针对 Linux/ 
UNIX 下 建立 起 IP 地 址 信任 关系 的 主机 实施 欺骗 。 这 也 是 黑客 入 侵 中 真正 攻击 方式 的 
一 种 。IP 欺骗 (IP spoofing) 就 是 伪造 数据 包 源 IP 地 址 的 攻击 ,基于 两 个 前 提 : TCP/IP 
网 络 在 路 由 数据 包 时 ,不 对 源 IP 地 址 进行 判断 ,所 以 可 以 伪造 待 发 送 数据 包 的 源 IP 地 
址 ;UNIX 环境 下 ,主机 之 间 如 果 有 信任 关系 存在 ,就 可 以 使 用 基于 IP 地 址 的 认证 ,不 再 
需要 用 户 提供 账号 和 口令 。 一 个 完整 的 IP 欺骗 攻击 过 程 如 图 2. 1 所 示 。 
攻击 者 X 攻击 目标 A 被 冒充 对 象 B 


< By mm 


GDX 对 B 实 施 拒绝 服务 攻击 ， 使 其 暂时 丧失 反应 能 力 


回 X 连 接 的 A 某 个 端口 {例如 SMIP 或 POP3)， 试 探 
其 ISN 变 化 规律 ， 以 估算 下 一 次 连接 时 A 的 ISN 值 


| 1 

| | 

| | | 
上 1 1 
必 本 1 
| 名 X 连 接 A 的 rlogin 端 口 (513) : 1 1 
| SYN， 源 IP 为 B，X 的 ISN 为 m 1 | 
一 GDA 向 B 返 回 ， 
| 1 ”SYN+ACK，A 的 ISN 为 n， 1 
| 1 。 应答 号 为 mrtl 1 
| 轩 等 待 丛 当 的 时 间 ，X 向 A 发 送 ， ! ! 
| ACK， 源 IP 为 B，X 的 应 答 号 为 n+1 1 B 没 有 应 答 | 
| 其 中 ，A 的 ISN(n 是 估算 出 来 的 ! SE < ! 
上 | 1 
| 1 1 
A 与 "了 之 问 建立 了 正式 的 连接 | 
| 1 1 
| 1 | 
| 加 X 模 拟 真正 的 rlogin 会 话 ， 向 A 发 送 如 下 命令 : | | 
| echo**>>~/.rhosts 1 1 
| 使 得 A 此 后 允许 任何 用 户 在 任何 主机 上 的 rlogin 登 录 | | 
-| 
1 | | 


图 2.1 一 个 完整 的 IP 欺骗 攻击 过 程 


1. 信任 和 认证 的 关系 


在 当前 的 操作 系统 和 网 络 应 用 中 有 如 下 两 种 主要 的 认证 用 户 合 法 性 的 方式 : 

(1) 基于 口令 的 认证 : 如 SMTP(TCP 25) 协 议和 远程 登录 Telnet(TCP 23) 协 议 , 只 
能 通过 账号 /口令 认证 用 户 。 

(2) 基于 IP 地 址 的 认证 ( 即 信任 ): 如 果 登 录 主 机 的 地 址 和 相应 的 账号 受到 被 登录 服务 
器 信任 , 则 从 该 主机 登录 服务 器 ,不 需要 口令 。 如 远程 登录 协议 rlogin(TCP 513) ,首先 使 用 
基于 信任 关系 的 认证 ,其 次 才 进 行 口令 认证 。 一 般 在 这 样 的 UNIX 服务 器 上 都 设置 有 /etc/ 
hosts. equiv 或 $ HOME/. rhosts 文件 ,其 中 包含 所 有 被 信任 主机 的 了 P 地 址 和 用 户 账号 。 
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一 般 来 说 ,信任 和 认证 是 一 种 相反 的 关系 ,信任 关系 越 强 ,认证 的 严格 性 越 低 。 
2. 对 被 冒充 对 象 B 的 拒绝 服务 攻击 


从 图 2.1 可 以 看 出 ,在 IP 欺骗 攻击 过 程 中 : 

(1) X 首先 必须 对 B 进行 拒绝 服务 攻击 ,否则 在 步骤 @ 中 B 收 到 A 发 送 来 的 请 求 应 
答 包 后 ,会 发 现 自己 没有 发 送 过 相应 的 请 求 。B 将 会 向 A 立刻 返回 RST 包 而 终止 连接 ， 
那么 黑客 X 就 不 能 冒充 B 连接 A 成 功 。 

(2) 在 上 面 的 IP 地址 欺骗 攻击 中 ,X 发 送 到 A 的 rlogin 端口 的 数据 包 的 源 IP 地 址 
是 “假冒 "了 B 的 IP 地址 。 那 么 X 为 何不 直接 在 网 络 配 置 中 将 自己 的 IP 地 址 修改 为 B 
的 IP 地 址 ,从 而 冒充 B 直接 连接 到 A 的 rlogin 端口 ? 至 少 有 两 个 原因 : X 和 B 的 全 地 
址 会 产生 冲突 ; 若 X 在 局 域 网 外 , 则 不 能 这 样 修改 。 


3. 序列 号 的 猜测 


从 上 面 的 IP 欺骗 攻击 过 程 可 以 看 出 ,IP 欺骗 要 想 实 施 成 功 ,关键 在 于 X 对 人 A 的 
TCP 连接 的 初始 序列 号 (Initial Sequence Number,ISN) 的 精确 猜测 。 因 为 X 请 求 A 服 
务 的 响应 包 只 会 返回 给 B,X 不 可 能 知道 其 中 A 的 序列 号 ,要 想 在 图 中 的 步骤 @ 完 成 三 次 
握手 并 连接 成 功 ,他 必须 * 猜 到 A 的 序列 号 ,这 就 是 序列 号 猜测 的 重要 性 。 序 列 号 猜测 
的 过 程 如 下 : 

(1) X 首先 连接 A 的 SMTP 端口 (X 是 A 的 合法 的 邮件 用 户 , 但 不 是 它 所 信任 的 rlogin 
用 户 , 因 为 邮件 应 用 的 安全 级 别 相对 不 高 ) ,试探 其 ISN 变化 规律 ,以 估算 下 一 次 连接 时 
A 的 ISN 值 ( 如 根据 到 目标 主机 的 往返 时 间 以 及 目标 主机 是 否 建立 新 的 连接 来 判断 ) 。 

(2) X 必须 立刻 按照 图 中 步骤 加 一 步骤 回 的 方法 假 肯 B 来 与 A 建立 rlogin 连接 , 否 
则 其 他 主机 有 可 能 与 A 建立 了 新 的 连接 ,就 更 不 容易 猜 准 序列 号 。 当 然 就 算 这 样 也 不 一 
定 能 一 次 猜测 成 功 。 

TCP 序列 号 在 TCP 头 部 中 占有 四 个 字 节 , 它 是 一 个 32 位 的 计数 器 (0 一 
4 294 967 295)。ISN 具体 有 如 下 三 种 产生 方式 ,其 中 攻击 者 有 可 能 猜测 到 前 两 种 方式 产 
生 的 序列 号 : 

(1) 64K 规则 : 用 于 比较 老 的 机 器 中 .系统 初始 化 时 ,发 送 的 序列 号 被 初始 化 为 1, 这 
个 变量 每 0. 5s 增加 64 000 ,并 每 隔 9. 32 小 时 又 回 到 0。 另外 每 次 建立 一 个 连接 后 ,这 个 
变量 将 增加 64 000, 所 以 非常 容易 被 猜测 到 序列 号 。 

(2) 时 间 相 关 规 则 : 这 是 一 个 常见 和 简单 的 规则 ,序列 号 产生 器 根据 时 间 来 产生 伪 
随机 序列 。 经 过 启动 初始 化 后 ,每 经 过 一 定 的 时 间 单 元 ,序列 号 也 相应 增加 。 由 于 各 计算 
机 上 的 时 钟 并 不 完全 相同 ,所 以 增加 了 序列 号 随机 性 。 

(3) 随机 产生 规则 : 在 新 的 Linux 内 核 中 使 用 .序列 号 基本 很 难 猜测 。 

下 面 讨论 在 不 同 网 络 环境 下 的 序列 号 猜测 的 难度 问题 : 

(1) 车 XX 和 A 以 及 B 在 同一 局 域 网 中 ,从 理论 上 说 很 容易 实现 IP 欺骗 攻击 。 
为 攻击 者 甚至 不 用 猜测 A 发 送 给 了 B 的 数据 包 中 包含 的 序列 号 ,用 嗅 探 技术 即 可 
得 到 。 
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(2) 若 X 来 自 于 互联 网 ,就 不 可 能 嗅 探 到 局 域 网 中 A 发 送 给 B 的 数据 包 中 包含 的 序 
列 号 ,这 时 是 一 种 讶 欺骗 (blind spoofing)。 那 么 只 能 依靠 猜测 来 得 到 A 发 送 给 B 的 数据 
包 中 的 序列 号 ,虽然 从 理论 上 这 是 可 行 的 ,但 实际 上 非常 困难 。 而 且 X 假冒 局 域 网 中 的 也 
向 A 发 出 的 连接 请 求 包 还 必须 首先 能 绕 过 防火 墙 的 过 滤 规 则 。 美 国 头号 计算 机 黑客 米 
特 尼克 是 第 一 个 在 Internet 成 功 实现 IP 欺骗 攻击 的 人 ,但 当时 的 序列 号 相对 现在 的 序列 
号 来 说 非常 容易 猜测 。 


2.5.4 ARP 欺骗 


ARP 欺骗 (ARP spoofing) 之 所 以 能 够 成 功 ,是 因为 ARP 协议 的 设计 上 有 如 下 缺陷 : 
一 台 主 机 即使 收 到 的 ARP 应 答 包 并 非 自 己 请 求 得 到 的 ,也 会 将 其 插入 自己 的 ARP 缓存 
表 中 。 这 种 设计 最 初 是 为 了 减少 网 络 上 过 多 的 ARP 数据 通信 ,但 这 同时 也 给 了 黑客 攻 
击 的 机 会 。 

如 果 黑 客 想 嗅 探 同 一 局 域 网 中 两 台 主机 之 间 通 信 , 他 会 分 别 给 这 两 台 主 机 发 送 一 
ARP 应 答 包 ,让 两 台 主 机 都 误 认为 对 方 的 MAC 地址 是 黑客 所 在 主机 的 MAC 地 址 。 这 
样 , 他 们 之 间 通 信 的 所 有 数据 包 都 会 通过 攻击 者 ,双方 看 似 * 直 接 ” 的 通信 连接 ,实际 上 都 
是 通过 黑客 所 在 主机 间接 中 转 的 。 黑 客 一 方面 得 到 了 想 获取 的 数据 内 容 , 另 一 方面 只 需 
要 更 改 数据 包 中 一 些 信息 做 好 转发 工作 即 可 。 这 种 嗅 探 方式 中 的 黑客 主机 不 需要 设置 网 
卡 的 混杂 模式 ,因为 通信 双方 的 数据 包 在 物理 上 都 是 发 送 给 黑客 主机 的 。ARP 欺骗 也 是 
中 间 人 攻击 的 一 种 实现 方法 。 


2.5.5 DNS 欺骗 


当 用 户 使 用 域名 访问 Web 服务 器 时 ,DNS 服务 器 需要 向 另 一 个 DNS 服务 器 发 送 某 
个 解析 请 求 ( 由 域名 解析 出 IP 地 址 ) ,因为 对 被 请 求 方 不 进行 身份 认证 ,这 样 黑客 就 可 以 
冒充 被 请 求 方 ,向 请 求 方 返回 一 个 被 自 改 了 的 IP 地 址 作为 应 答 ,将 用 户 引 向 黑客 设 定 的 
主机 。 

DNS 欺骗 (DNS spoofing) 能 够 成 功 ,首先 一 个 条 件 就 是 DNS 服务 器 会 在 本 地 cache 
中 缓存 有 可 能 被 黑客 算 改 了 的 信息 ,以 后 向 该 DNS 服务 器 发 送 的 对 同一 域名 的 解析 请 
求 ,在 该 条 目 被 缓存 的 生存 期 内 ,得 到 的 结果 都 将 被 算 改 。 

DNS 欺骗 威力 巨大 ,有 些 黑 客 利 用 DNS 欺骗 将 一 些 重 要 的 网 站 (例如 银行 主页 ) 解 
析 到 自己 的 “钓鱼 网 站 ”上 ,用 户 受 骗 后 ,在 用 户 输入 账号 口令 时 窃取 用 户 信息 ;有 些 人 则 
利用 DNS 欺骗 入 侵 局 域 网 ,在 局 域 网 内 挂 木马 ,隐藏 自己 IP 地 址 等 。 


2.5.6 会 话 动 持 


会 话 劫持 (session hijacking) 是 一 种 结合 了 嗅 探 以 及 欺骗 技术 在 内 的 攻击 手段 ,就 是 
在 一 次 正常 的 通信 过 程 中 ,黑客 作为 第 三 方 参与 到 其 中 ,要 么 在 数据 流 里 注射 额外 的 信 
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息 ;或 将 双方 的 通信 模式 暗中 改变 , 即 从 直接 联系 变 成 交 由 黑客 中 转 。 根 据 劫持 实现 原理 
和 目的 的 不 同 ,会 话 劫持 又 分 为 如 下 两 种 : 


1. 中 间 人 攻击 


通过 ARP 欺骗 进行 的 中 间 人 攻击 ,要 求 黑 客 必须 置身 于 通信 双方 任意 一 方 的 网 络 
中 ,他 通过 构造 虚假 的 ARP 响应 包 ,污染 受害 主机 的 ARP 缓冲 区 ,使 受害 主机 彼此 之 间 
发 送 的 数据 包 先 到 达 黑 客 的 主机 ,再 由 黑客 改变 MAC 地 址 重新 构造 转发 。 对 于 基于 
DNS 欺骗 的 会 话 支持 ,因为 基于 IP 地 址 ,所 以 在 广域网 内 也 可 进行 ,例如 Web 服务 器 重 
定向 。 中 间 人 攻击 相当 于 在 通信 双方 之 间 加 入 一 个 透明 的 代理 ,这 种 攻击 方式 不 仅 对 传 
输 明文 的 常规 通信 协议 有 效 , 对 于 配置 不 当 的 加 密 协议 也 有 利用 的 可 能 ,如 SSH 和 SSL 
协议 。 当 然 中 间 人 攻击 还 可 以 用 多 种 其 他 方法 实现 。 


2. 会 话 注射 


会 话 注射 (session injection) 不 需要 改变 通信 双方 数据 的 流向 , 即 要 么 将 双方 的 通信 
模式 暗中 改变 ,从 直接 联系 变 成 由 黑客 中 转 ; 要 么 在 正常 的 数据 流 中 插入 黑客 填充 的 内 
容 , 黑 客 首先 可 以 中 断 用 户 和 服务 器 的 通信 ,然后 注入 他 自己 的 命令 。 例 如 ,攻击 者 看 到 
服务 器 和 一 个 客户 端 已 经 建立 了 会 话 连 接 并 且 客 户 端 使 用 合法 的 Telnet 账号 和 口令 已 
经 登录 到 服务 器 的 时 候 , 攻 击 者 可 以 马上 停止 转发 从 客户 端 到 服务 器 的 数据 包 。 然 后 攻 
击 者 假装 是 受信 任 的 客户 端 ,将 自己 的 数据 包 注 和 人 服务 器 (注意 必须 确保 序列 号 和 应 答 号 
的 匹配 ) ,在 服务 器 上 使 用 客户 端的 权限 建立 一 个 新 的 账户 。 最 后 攻击 者 又 开始 转发 受害 
者 和 服务 器 的 数据 包 。 这 也 实现 了 另外 一 种 意义 上 的 IP 欺骗 攻击 。 


2.5.7 拒绝 服务 攻击 


当今 最 为 流行 和 突出 的 网 络 攻击 就 是 拒绝 服务 (Denial of Service,DoS) 攻 击 , 它 主要 
攻击 网 络 的 可 用 性 。 只 要 网 络 系统 或 应 用 程序 还 存在 漏洞 ,只 要 网 络 协议 的 实现 还 存在 
隐患 ,甚至 只 要 提供 服务 的 系统 仍然 具有 网 络 开放 的 特性 ,拒绝 服务 攻击 就 会 存在 。 拒 绝 
服务 攻击 是 一 种 操作 简单 而 富有 成 效 的 攻击 手段 ,现在 网 络 上 这 种 攻击 工具 种 类 繁多 , 黑 
客 往往 不 需要 掌握 复杂 技术 ,只 要 有 足够 的 网 络 资源 ,有 可 以 利用 的 机 会 ,进行 的 攻击 就 
可 能 屡屡 奏效 。 从 防御 角度 来 看 , 面 对 拒 绝 服 务 攻击 ,迄今 为 止 都 没有 很 好 的 解决 方案 。 

这 样 的 人 侵 对 于 服务 器 来 说 可 能 并 不 会 造成 损害 ,但 可 以 造成 人 们 对 被 攻击 服务 器 
所 提供 服务 的 信任 度 下 降 ,影响 公司 的 声誉 以 及 用 户 对 网 络 服务 的 使 用 。 拒 绝 服务 攻击 
并 非 某 一 种 具体 的 攻击 方式 ,而 是 攻击 所 表现 出 来 的 结果 。 黑 客 可 以 采用 种 种 手段 ,最 终 
使 得 目标 系统 因 遭 受 某 种 程度 的 破坏 而 严重 损耗 系统 内 存 和 网 络 带宽 ,从 而 不 能 继续 对 
合法 用 户 提供 正常 的 服务 ,甚至 导致 设备 物理 上 的 瘫痪 或 崩溃 。 产 生 拒绝 服务 攻击 的 原 
因 要 么 是 被 攻击 系统 的 系统 程序 或 应 用 程序 存在 漏洞 ,要么 是 网 络 协议 栈 实 现存 在 缺陷 ， 
如 TCP 三 次 握手 的 缺陷 。 下 面 主要 讨论 几 种 有 代表 性 的 拒绝 服务 攻击 手段 : 
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1. UDP Flood 


有 些 系 统 在 安装 后 ,没有 对 默认 配置 进行 必要 的 修改 ,使 得 一 些 容 易 遭 受 攻击 的 服务 
端口 开放 。 例 如 UDP Flood 攻击 利用 的 就 是 Echo 和 Chargen 这 两 种 UDP 服务 。Echo 
服务 (TCP7 和 UDP7) 对 接收 到 的 每 个 字符 进行 回 送 ;Chargen(TCP19 和 UDP19) 对 每 
个 接收 到 的 数据 包 都 返回 一 些 随 机 生成 的 字符 ( 即 如 果 与 Chargen 服务 在 TCP19 端口 建 
立 了 连接 , 它 会 不 断 返 回 乱 字 符 直 到 连接 中 断 ) 。 黑 客 就 利用 这 些 不 该 打开 的 低 端 端口 的 
漏洞 对 目标 主机 发 动 拒绝 服务 器 攻击 。 

黑客 选择 两 个 远程 目标 A 和 B, 生 成 伪造 的 UDP 数据 包 ,目的 地 是 B 的 Chargen 端 
口 ,来 源 地 假冒 为 A 的 Echo 端口 。 这 样 了 的 Chargen 服务 返回 的 随机 字符 就 发 送 给 A 
的 Echo 服务 ,A 再 向 B 回 送 收 到 的 字符 ,如 此 反复 ,最 终 导 致 这 两 台 主 机 应 接 不 上 暇 而 拒 
绝 服务 。A 和 BB 的 内 存 和 两 者 所 在 的 局 域 网 的 带宽 都 受到 严重 损耗 。UDP Flood 攻击 
比较 新 的 形式 是 针对 DNS 服务 器 的 攻击 。 


2. Land Attack 


被 攻击 主机 S 往往 是 Windows 主机 , 它 的 139 端口 一 般 都 是 开放 的 (当然 任 一 开放 
端口 都 可 被 利用 实现 此 攻击 ) 。 黑 客 向 S 的 139 端口 发 送 TCP 请 求 数据 包 ,并 将 源 IP 地 
址 设置 为 S 的 IP 地址 , 源 端口 设置 为 139 端口 ,这 样 的 目的 是 让 S 自己 攻击 自己 。 最 终 
S 因 试 图 与 自己 连接 而 陷入 死 循环 ,因为 S 一 直 给 自己 发 送 错误 应 答 ,并 希望 能 够 看 到 具 
有 正确 序列 号 的 应 答 返回 。 


3. SYN Flood 


在 Smurf Attack 之 前 ,SYN Flood 是 最 为 流行 .最 具有 破坏 性 的 DoS 攻击 方式 之 一 ， 
当然 ,在 单机 上 实行 SYN Flood 早已 经 * 过 时 ?了 ,但 将 它 应 用 到 分 布 式 拒绝 服务 攻击 中 ， 
其 后 果 往 往 是 很 严重 的 。SYN Flood 的 实现 过 程 如 下 : 

(1) 黑客 使 用 TCP 三 次 握手 连接 服务 器 的 过 程 中 ,发 送 给 服务 器 S 的 SYN 包 中 的 
源 IP 地址 是 “虚假 ”的 地 址 ( 即 可 路 由 但 不 能 到 达 的 地 址 ) 。 

(2) 服务 器 返回 的 SYN 十 ACK 包 就 不 能 到 达 声 称 的 源 IP 地 址 对 应 的 主机 。 

(3) 服务 器 就 不 能 按时 收 到 对 应 客户 机 返回 的 ACK 包 ,就 将 该 未 完成 连接 放 和 人 自己 
的 “未 完成 连接 队列 ”中 等 待 。 

(4) 服务 器 过 一 段 时 间 再 重 发 SYN 十 ACK 包 , 再 等 待 。 

(5) 如 果 超 时 定时 器 时 间 到 ,服务 器 实在 等 不 到 回应 ,将 该 “未 完成 连接 ”从 “未 完成 
连接 队列 ”中 清除 ,连接 断 开 , 给 其 他 客户 机 以 连接 请 求 的 机 会 。 

(6) 但 是 黑客 并 不 会 只 发 送 一 次 这 样 的 SYN 包 , 如 果 他 源源 不 断 发 送 连接 请 求 
(用 随机 产生 的 虚假 源 地 址 以 使 受害 服务 器 不 能 进行 IP 过 滤 或 追查 攻击 源 ) ,使 得 清除 
出 队列 总 没有 进入 队列 快 ,“ 未 完成 连接 队列 ”始终 满 ,服务 器 不 能 响应 正常 的 用 户 请 
求 ( 即 被 拒绝 服务 ) 。 
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4. Smurf Attack 


Smurf Attack 是 一 种 最 令 人 害怕 的 DoS 攻击 。 假 设 黑客 要 攻击 的 受害 主机 是 S, 但 
是 使 用 常规 的 DoS 方法 直接 攻击 效果 很 差 。 于 是 黑客 以 受害 主机 的 名 义 向 某 个 局 域 网 
发 送 ICMP echo 广播 请 求 包 , 源 地 址 设置 为 S 的 IP 地址。 不 管 被 扫描 网 络 中 主机 的 相 
应 端口 是 否 打开 ,局 域 网 中 的 所 有 主机 便 会 向 “无 率 ” 的 受害 主机 S 返回 ICMP echo 广播 
响应 包 或 者 大 量 的 ICMP 端口 不 可 到 达 的 应 答 报 文 , 使 得 受害 主机 应 接 不 上 暇 ,导致 其 对 正 
常 的 网 络 请 求 拒绝 服务 ,同时 也 会 耗 尽 广播 网 络 的 带宽 。 广 播 网 络 在 这 里 起 了 攻击 放大 
器 的 作用 。 在 2002 年 就 发 生 了 一 起 针对 核心 域名 服务 器 (DNS) 的 类 似 攻 击 。 由 于 13 台 
根 目录 DNS 服务 器 中 的 12 台 是 可 以 接收 Ping 消息 的 ,它们 不 得 不 对 所 有 的 Ping 请 求 
消息 进行 回应 。 最 后 导致 的 结果 就 是 一 个 大 规模 的 拒绝 服务 攻击 使 得 这 些 核 心 DNS 服 
务 器 的 运行 速度 变 得 很 慢 。 


5. 分 布 式 拒绝 服务 攻击 


随 着 网 络 带宽 的 增加 和 网 络 设备 性 能 的 提高 ,使 用 单 台 主机 对 服务 器 进行 拒绝 服务 
攻击 往往 没有 效果 或 效果 非常 不 明显 ,而 且 容 易 追 查 到 攻击 者 。 而 2000 年 左右 出 现 的 
DDoSCDistributed DoS) 攻 击 是 DoS 攻击 的 一 种 延伸 , 它 之 所 以 威力 巨大 、 攻 击 效果 明显 ， 
是 因为 其 协同 攻击 的 能 力 。 黑 客 使 用 DDoS 攻击 工具 ,往往 可 以 同时 控制 成 百 上 千 台 
击 源 ( 倪 偶 机 ) ,向 某 个 单 点 目标 发 动 攻击 , 它 还 可 以 将 各 种 传统 的 DoS 攻击 手段 (如 SYN 
Flood、Smurf 等 ) 结 合 使 用 。 在 2000 年 2 月 对 Yahoo 等 著名 站 点 的 DDoS 攻击 案例 中 ， 
入 侵 者 控制 了 近 3000 台 主 机 ,攻击 高 峰 时 数据 流量 达到 1GB/s。 

DDoS 攻击 模型 有 四 种 不 同 的 角色 : 

(1) 黑客 (intruder/attacker/client): 黑客 操作 主机 的 接口 (Netcat 或 Telnet) ,其 作 
用 是 向 Master 发 送 各 种 命令 。 

(2) 主 控 端 Cmaster/handler) : 监听 来 自 Intruder 的 命令 ,并 向 网 络 上 各 个 Daemon 
发 攻击 命令 ,使 其 开始 攻击 。 

(3) 守护 进程 端 (daemon/slave/agent/zombie/bot/server): 接收 和 响应 来 自 Master 
的 攻击 命令 ,是 真正 实施 攻击 的 前 锋 。 

(4) 受害 者 (victim): 即 被 攻击 的 目标 主机 。 

图 2.2 给 出 了 DDoS 的 攻击 模型 。 

在 进行 DDoS 攻击 前 ,入 侵 者 必须 先 控制 大 量 的 无 关 主 机 用 于 安装 进行 DDoS 攻击 
的 软件 。 获 得 大 量 的 主机 并 不 是 非常 困难 ,互联 网 上 充斥 着 安全 措施 较 差 的 主机 ,入 侵 者 
就 能 轻易 进入 这 些 系统 (实现 控制 的 机 制 与 特洛伊 木马 的 控制 机 制 相似 ) ,这 一 步 称 为 “ 构 
造 攻击 网 络 ”。 获 得 系统 的 控制 权 后 ,入 侵 者 需要 做 的 就 是 在 被 控制 主机 上 安装 DDoS 攻 
击 软 件 ,Trinoo、Stacheldraht、TFN、TFN2K 等 就 是 实现 这 种 功能 的 软件 。 当 攻击 网 络 
中 的 主机 数目 足够 多 ,时 机 成 熟 后 ,攻击 者 就 可 以 从 Intruder 上 发 送 攻击 命令 ,控制 
Master, 进 而 控制 Daemon 同时 发 送 大量 的 攻击 包 , 向 Victim 发 动 大 规模 的 分 布 式 拒绝 
服务 攻击 。 
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ictim 


Daemon 


图 2.2 ”DDoS 的 攻击 模型 


近年 来 , 随 着 反射 式 DDoS 攻击 .蠕虫 型 DDoS 攻击 和 反弹 端口 型 DDoS 攻击 的 出 
现 ,实施 大 流量 的 DDoS 攻击 变 得 容易 得 多 。 而 且 DDoS 攻击 的 攻击 模式 和 攻击 工具 变 
得 越 来 越 复 杂 、 有 效 和 难以 追踪 到 真正 的 攻击 者 ,而 现 有 的 防护 技术 还 不 足以 抵御 大 规模 
的 攻击 。 所 以 对 DDoS 攻击 ,至 今 没有 一 个 很 好 的 防御 方法 。 有 研究 表明 ,分布 式 入 侵 检 
测 系统 的 实现 原理 使 其 有 可 能 成 为 检测 分 布 式 拒绝 服务 攻击 的 一 个 突破 方向 。 


2.5.8 缓冲 区 溢出 攻击 


缓冲 区 溢出 (buffer overflow) 攻 击 是 近年 来 一 种 应 用 非常 广泛 的 远程 攻击 系统 的 手 
段 , 许 多 著名 的 安全 漏洞 都 与 缓冲 区 溢出 有 关 。 缓 冲 区 就 是 在 程序 运行 期 间 ,在 内 存 中 分 
配 的 一 个 连续 区 域 ,用 于 保存 字符 数组 在 内 的 各 种 类 型 数据 。 而 溢出 ,实际 上 就 是 所 填充 
数据 超过 了 原 有 缓冲 区 的 边界 ,并 非法 占据 了 另 一 段 内 存 区 域 。 二 者 结合 起 来 概括 ,所谓 
缓冲 区 溢出 攻击 ,就 是 由 于 填充 数据 越界 而 导致 程序 执行 出 错 甚至 改变 原 有 的 流程 ,黑客 
借 此 精心 构造 填充 数据 ,用 黑客 自己 的 代码 覆盖 原来 的 返回 地 址 ,让 程序 转 而 执行 特定 的 
代码 ,在 原本 没有 任何 系统 账户 的 情况 下 最 终 获 取 系 统 的 控制 权 。 

1988 年 ,美国 康 奈 尔 大 学 的 计算 机 科学 系 研究 生 、23 岁 的 莫 里 斯 利用 UNIX 
fingered 和 sendmail 程序 不 限制 输入 数据 长 度 的 漏洞 ,输入 512 个 字符 后 使 缓冲 区 溢出 ， 
同时 编写 了 一 段 特别 大 的 恶意 程序 能 以 root 权限 执行 ,并 感染 到 其 他 计算 机 上 。 这 就 是 
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利用 缓冲 区 溢出 漏洞 进行 攻击 的 最 著名 的 Morris 蠕虫 , 它 造成 全 世界 6000 多 台 网 络 服 
务 器 次 病 。1996 年 11 月 ,Bugtraq 邮件 列表 的 创始 人 Aleph One 给 安全 杂志 Phrack 
Magazine 写 了 一 篇 题目 为 “Smashing The Stack For Fun and Profit” 的 文章 。 这 篇 文章 
对 于 安全 界 产生 了 深远 的 影响 ,因为 它 清楚 地 阑 明 了 糟糕 的 编程 行为 在 缓冲 区 洪 出 攻击 
下 会 如 何 危及 计算 机 和 网 络 安全 。 

缓冲 区 溢出 利用 了 计算 机 指令 系统 的 弱点 和 计算 机 程序 的 缺陷 ,攻击 者 可 以 分 析 有 
缺陷 的 程序 代码 ,通过 向 程序 提交 过 长 的 .恶意 构造 的 输入 数据 ,破坏 或 改写 内 存 中 一 些 
对 控制 程序 流程 起 关键 作用 的 信息 (如 函数 的 返回 地 址 或 SEH 链 ) 获 得 对 进程 的 控制 
权 。 实 现 缓冲 区 溢出 攻击 的 最 大 价值 在 于 能 够 在 被 攻击 主机 上 执行 任意 代码 ,可 以 利用 
缓冲 区 溢出 执行 非 授 权 指 令 , 其 至 取得 系统 控制 权 , 进 而 进行 各 种 非法 操作 。 

引起 缓冲 区 溢出 问题 的 根本 原因 是 C/C++ 本 质 是 不 安全 的 ,没有 对 数组 和 指针 的 引 
用 进行 边界 检查 ,也 就 是 开发 人 员 必 须 检 查 边界 ,而 这 一 工作 往往 会 被 忽视 。 由 于 没有 边 
界 检查 机 制 保证 对 数组 和 指针 的 引用 不 会 越界 ,所 以 在 对 数组 和 指针 引用 时 有 可 能 会 越 
过 边界 访问 到 其 外 面 的 内 容 。 如 果 是 读 取 数 组 以 外 的 内 容 , 有 可 能 使 程序 得 出 错误 的 结 
果 , 这 还 算是 比较 好 的 情况 ;如 果 是 写 入 ,就 有 可 能 破坏 进程 内 存 的 其 他 内 容 。 进 而 如 果 
黑客 研究 内 存 中 一 些 敏感 数据 (例如 返回 地 址 ,VTable 等 一 些 编译 器 或 者 操作 系统 自动 
维护 的 数据 ) 的 分 布 ,精心 组 织 越界 数据 ,就 能 够 通过 缓冲 区 溢出 改变 程序 的 流向 ,运行 恶 
意 指 令 以 获得 对 进程 的 控制 。 

缓冲 区 溢出 攻击 是 通过 破坏 进程 内 存 组 织 、 利 用 指令 系统 特性 或 者 操作 系统 机 制 改 
变 进 程 正常 流向 的 一 种 手段 , 它 代 表 了 一 类 攻击 方法 ,其 中 包含 很 多 不 同 种 类 的 方法 。 绥 
冲 区 溢出 攻击 按 填 充 数据 溢出 的 缓冲 区 位 置 分 为 栈 溢出 (格式 化 字符 串 溢出 可 以 看 作 栈 
溢出 的 特例 ) , 堆 溢 出 和 BSS( 静 态 数 据 区 ) 溢 出 。 按 黑客 重 定 向 程序 流程 的 方式 分 为 直接 
植 和 黑客 自己 代码 和 跳 转 执行 系统 中 已 经 加 载 的 代码 。 按 所 利用 的 外 部 条 件 的 不 同 分 为 
本 地 缓冲 区 溢出 和 远程 缓冲 区 溢出 。 

下 面 以 一 个 简单 的 栈 溢出 为 例 介绍 缓冲 区 溢出 的 过 程 。 假 设 面 对 一 个 有 strcpy 栈 
溢出 漏洞 的 程序 ,通过 缓冲 区 溢出 得 到 一 个 Shell 的 过 程 : 使 用 一 个 shellcode 数组 来 存 
放 shellcode, 所 谓 的 shellcode 就 是 把 要 执行 的 命令 编辑 成 最 简单 的 二 进 制 形式 以 便 执 
行 。 利 用 程序 中 的 strcpy 函数 ,把 shellcode 放 到 了 程序 的 堆栈 中 。 同 时 我 们 制造 了 数组 
越界 ,用 shellcode 的 开始 地 址 覆盖 了 程序 的 返回 地 址 。 程 序 在 返回 的 时 候 就 会 执行 
shellcode, 从 而 得 到 了 一 个 Shell。 

缓冲 区 溢出 漏洞 可 以 使 黑客 获得 主机 的 访问 权 其 至 是 最 高 权限 。 黑 客 可 以 利用 缓冲 
区 溢出 漏洞 攻击 具有 root 权限 的 程序 ,例如 通过 执行 类 似 exec 函数 族 代码 来 获得 被 攻击 
主机 的 root 权限 。 下 面 是 一 个 典型 的 shellcode 源 程 序 ,使 用 execve 函数 来 执行 /bin/sh 
命令 ,也 就 是 得 到 一 个 Shell。 


# include < stdio.h> 
void main (){ 
char * name [2]; 
name[0]="/bin/sh"; 


name[1]=NULL; 


execve (name [0] , name, NULL); 


} 


但 是 ,要 将 shellcode 植 入 缓冲 区 中 , 它 必须 作为 可 直接 执行 的 机 器 代码 才 行 ,所 以 要 
先 将 该 程序 编译 成 汇编 代码 ,然后 经 过 适当 的 调整 ,最 后 得 到 适合 被 人 侵 系统 类 型 的 机 器 
代码 。 有 了 这 段 代 码 ,黑客 就 可 以 设计 自己 的 攻击 程序 (通常 被 称 为 exploit 程序 ): 

(1) 在 该 程序 中 ,黑客 要 构造 一 个 特殊 的 字 串 ,该 字 串 中 包含 shellcode, 也 包含 
shellcode 的 地 址 (用 该 地 址 覆盖 函数 的 返回 地 址 )。 这 其 中 包含 栈 溢出 中 最 难 实现 的 如 
何 定 位 栈 溢出 位 置 的 技术 。 

(2) 攻击 程序 调用 exec 族 函 数 来 执行 有 缓冲 区 溢出 漏洞 的 命令 程序 ,并 将 构造 好 的 
字 串 作为 参数 传递 给 命令 程序 。 

下 面 的 程序 说 明 怎 样 将 包含 shellcode 的 地 址 和 shellcode 的 字 串 植 和 缓冲 区 的 。 


char shellcode[]= 
"\xeb\x1f\x5e\x89\x76\x08\x31\xcO\x88\ x46\ x07\x89\ x46\ x0c\ xbO\ xOb" 
"\x89\xf3\x8d\ x4e\ x08\x8d\x56\ x0c\xcd\ x80\ x31\ xdb\ x8\ xd8\ x40\xcd" 
\x80\xeg\xdc\ xff\xff\xff/bin/sh"; 
char large string[ 128]; 
void main(){ 
char buffer [96]; 
int i; 
long* long ptr= (long* )large string; 
for (i=0;i<32;i++) 
x* (long ptr+i)= (int)buffer; 
for (i=0;i<strlen(shellcode);i++) 
large string[i]=shellcode[i]; 
strcpy (buffer, large_ string); 
} 


执行 过 程 如 下 : 首先 ,在 large_string 中 填充 buffer 的 地 址 ,然后 将 shellcode 放 到 
large_string 的 最 前 面 , 最 后 ,将 这 个 超 长 的 字 串 复制 到 狭小 的 缓冲 区 中 。 其 结果 是 , main 
函数 的 正常 返回 地 址 被 buffer 的 地 址 所 取代 ,而 buffer 开始 处 ,正好 是 shellcode。main 
函数 不 能 正常 退出 ,strcpy 执行 之 后 将 会 转 而 执行 shellcode。 对 本 程序 实现 缓冲 区 溢出 
攻击 后 ,被 修改 了 的 main 函数 的 栈 帧 如 图 2. 3 所 示 。 
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图 2.3 被 修改 了 的 main 函数 的 栈 帧 
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2000 年 7 月 ,微软 Outlook 以 及 Outlook Express 被 发 现存 在 漏洞 ,能 够 使 攻击 者 仅 
通过 发 送 邮件 就 能 让 邮件 头 部 程序 缓冲 区 溢出 ,从 而 触发 恶意 代码 危及 目标 主机 安全 。 
2001 年 8 月 “红色 代码 ?利用 微软 IIS 漏洞 产生 缓冲 区 溢出 ,成 为 攻击 企业 网 络 的 “罪魁 
祸首 ”。2003 年 1 月 ,Slammer 蠕虫 利用 微软 SQL 漏洞 产生 缓冲 区 溢出 对 全 球 互联 网 产 
生 冲击 。2004 年 冲击波” 蠕虫 病毒 利用 微软 RPC 远程 调用 存在 的 缓冲 区 漏洞 对 
Windows 2000/XP 和 Windows Server 2003 进行 攻击 ,波及 全 球 网 络 系统 。 据 CERT 安 
全 小 组 称 ,操作 系统 中 超过 50% 的 安全 漏洞 都 是 由 内 存 溢 出 引起 的 ,这 些 安全 漏洞 正在 
被 越 来 越 多 的 网 络 蠕虫 所 利用 。 


2.6 权限 提升 


攻击 者 的 最 终 目 的 是 获得 系统 的 控制 权 , 即 root 权限 或 最 高 管理 员 权 限 。 有 些 情况 
下 ,攻击 者 进入 系统 时 得 到 的 就 是 这 个 权限 ,但 更 多 的 时 候 攻 击 者 最 初 只 能 得 到 部 分 的 访 
问 权 ( 如 利用 远程 漏洞 获取 的 权限 ), 于 是 他 想 通过 权限 提升 (escalating privilege) ,如 使 
用 su 命令 ,种植 获取 口令 的 木马 、 破 解 口令 散 列 文件 得 到 管理 员 口令 等 ,得 到 系统 的 控制 
权 , 而 操作 系统 很 难 阻止 这 种 权限 提升 。 例 如 一 个 攻击 者 只 能 以 客人 的 身份 进行 访问 ,于 
是 他 利用 这 种 访问 取得 另外 的 信息 后 ,就 可 以 利用 这 些 信息 获得 系统 的 控制 权 。 对 
Internet 上 的 客户 机 来 说 ,最 重要 的 权限 提升 方法 是 利用 Web 浏览 和 电子 邮件 。 


2.7 掩盖 踪迹 


黑客 入侵 系 统 成 功 ,获得 访问 权 或 控制 权 后 ,此 时 最 重要 就 是 清除 所 有 和 人 侵 痕 迹 , 隐 
藏 自 己 踪迹 ,以 防 被 管理 员 发 觉 ,以便 能 够 随时 返回 被 入 侵 系 统 继续 破坏 或 作为 和 人 侵 其 他 
系统 的 中 继 跳板 。 掩 盖 踪 迹 (covering tracks) 的 方法 有 隐藏 上 传 的 文件 ,禁止 或 算 改 日 志 
审计 信息 ,清除 日 志 记录 改变 系统 时 间 造 成 日 志文 件数 据 亲 乱 \ 干 扰 入 侵 检 测 系 统 的 正 
常 运 行 ,修改 完 整 性 检测 数据 、 使 用 Rootkit 工具 等 。 常 用 的 清除 日 志 工 具有 zap、wzap、 
wipe、wted、elsave, 当然 直接 使 用 vi 之 类 简单 的 文件 编辑 器 也 可 以 。 


2.8 创建 后 门 


所 谓 的 后 门 程序 ,理想 地 说 ,就 是 无 论 用 户 账号 的 增加 或 减少 .服务 的 开启 和 关闭 等 
系统 配置 发 生 怎样 的 改变 ,都 能 够 让 攻击 者 再 次 隐蔽 地 进入 网 络 或 系统 而 不 用 花费 很 多 
工夫 且 不 被 发 现 的 通道 。 一 次 成 功 的 入侵 通常 要 耗费 攻击 者 大 量 的 时 间 和 资源 ,因此 攻 
击 者 在 退出 系统 之 前 要 在 系统 的 不 同 部 分 布置 陷阱 和 后 门 ,以 便 攻 击 者 能 在 以 后 仍 能 从 
容 获得 特权 访问 。 攻 击 者 之 所 以 创建 后 门 (creating bookdoor) 是 为 了 防止 他 们 已 经 获得 
的 受害 机 器 的 用 户 账号 被 屏蔽 ,而 后 门 程序 提供 了 攻击 者 所 需 的 可 靠 而 稳定 的 访问 权 。 

蠕虫 传播 者 可 以 将 后 门 作为 控制 通道 ,获得 被 感染 系统 的 远程 访问 权限 ,用 于 传送 指 
令 并 发 动 分 布 式 拒绝 服务 攻击 ;后 门 程序 也 可 以 作为 一 个 代理 使 用 ,从 而 掩盖 真正 的 攻击 
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者 ;后 门 连接 还 可 以 被 用 于 升级 被 感染 系统 中 已 存在 的 恶意 代码 ,或 者 向 被 感染 系统 发 送 
新 的 恶意 代码 。 

创建 后 门 的 主要 方法 有 重新 开放 不 安全 的 服务 端口 、 修 改 系统 配置 留 下 漏洞 、 安 装 嗅 
探 器 、 建 立 隐藏 通道 ,创建 具有 root 权限 的 虚假 用 户 账号 .安装 批 处 理 文件 .安装 远程 控 
制 工具 、 使 用 木马 程序 替换 系统 程序 (如 netstat \ls 等 )、 安 装 监控 机 制 以 及 感染 系统 文 
件 等 。 


2.9 ”Web 攻击 技术 


随 着 Internet 的 日 益 普及 ,人 们 对 其 依赖 性 也 越 来 越 强 , 它 已 逐渐 成 为 人 们 生活 中 不 
可 缺少 的 一 个 部 分 。 但 是 ,Internet 提供 的 Web 服务 有 几 个 方面 的 安全 问题 : Web 服务 
是 动态 交互 的 ;Web 服务 使 用 广泛 而 且 信 誉 非常 重要 ;Web 服务 器 难以 配置 ,会 隐藏 众多 
安全 漏洞 ;编写 和 使 用 Web 服务 的 用 户 安全 意识 相对 薄弱 。 

可 以 将 Web 安全 威胁 分 为 对 Web 服务 器 的 安全 威胁 、 对 Web 浏览 器 的 安全 威胁 和 
对 通信 信道 的 安全 威胁 三 类 ,其 中 使 用 SSL 协议 可 以 较 好 地 实现 Web 通信 信道 的 安全 。 
对 Web 服务 器 的 攻击 方法 有 样板 文件 和 源 代码 泄露 .资源 解析 和 二 次 解码 攻击 ( 即 同 义 
异 名 攻击 )、 服 务 器 功能 扩展 模块 问题 .服务 器 端 包含 (Server Side Include,SSI) 问题、 组 
冲 区 溢出 攻击 ,SQL 注入 (SQL Injection) 攻击 等 。 对 Web 浏览 器 的 攻击 方法 有 对 
ActiveX 和 JavaScript 脚本 的 攻击 、 攻 击 会 话 跟踪 (cookie) 机 制 . 跨 站 脚本 (Cross-Site 
Scripting,XSS) 攻 击 、 同 形 异 义 词 (Homograph) 漏 洞 。 


2.9.1 SQL 注入 攻击 


1. SQL 注入 的 定义 


SQL 注入 (SQL injection) 是 一 种 针对 Web 服务 器 程序 及 其 数据 库 的 攻击 ,是 目前 最 
流行 的 网 站 入 侵 技术 之 一 。SQL 注入 是 指 攻击 者 利用 Web 应 用 程序 中 没有 对 用 户 的 输 
人 入 进行 合法 性 验证 而 产生 的 SQL 注入 漏洞 (这 种 漏洞 大 多 存在 于 常见 的 多 连接 Web 应 
用 程序 中 ) ,通过 构造 特殊 的 SQL 语句 ,将 指令 插入 系统 原始 的 SQL 查询 语句 中 并 执行 
它 : 以 获取 数据 库 中 的 敏感 信息 ,甚至 获取 主机 的 控制 权限 。 

通常 ,程序 员 在 存 取 数据 库 时 ,往往 是 事先 定义 好 一 个 含有 “空格 ”的 SQL 语句 ,然后 
将 用 户 的 输入 填 和 人 空格 ,最 终 组 织 成 SQL 语句 传递 给 数据 库 执行 。 但 也 正 因为 这 个 空 
格 的 存在 ,检查 稍 有 不 慎 就 会 让 黑客 有 机 可 乘 , 将 特定 代码 填 人 空格 ,从 而 操纵 SQL 语句 
的 执行 。 

SQL 注入 技术 是 一 种 危害 性 很 大 的 网 络 攻击 技术 , 当 SQL 注入 攻击 伴随 正常 的 访 
问 请 求 一 起 发 生 时 ,是 完全 可 以 绕 过 防火 墙 而 直接 影响 到 数据 库 甚至 服务 器 的 ,造成 的 危 
害 无 法 估计 。 更 重要 的 是 ,这 种 攻击 利用 的 是 SQL 语法 ,使 得 攻击 具有 广泛 性 , 它 对 于 目 
前 网 络 上 的 大 多 数 数据 库 一 一 Access 及 SQL Server 等 都 有 效 。 
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以 下 介绍 SQL 注入 攻击 的 总 体 思 路 。 
(1) 发 现 SQL 注入 位 置 。 

(2) 判断 后 台数 据 库 类 型 。 

(3) 确定 XP-cmdshell 可 执行 情况 。 
(4) 发 现 Web 虚拟 目录 。 

(5) 上 传 ASP 木马 。 

(6) 得 到 管理 员 权 限 。 


2. 判断 Web 程序 能 否 注入 及 注入 方式 


首先 ,需要 对 目标 Web 程序 进行 试探 ,来 确定 SQL 注入 漏洞 。Web 程序 传输 数据 有 
两 种 方式 : GET 和 POST,SQL 注入 同样 要 遵循 HTTP 协议 ,因此 也 产生 两 种 代码 注入 
方式 ,不 同 的 数据 传递 方式 特点 及 注入 方式 如 表 2. 2 所 示 。 


表 2.2 不 同 的 数据 传递 方式 特点 及 注入 方式 


数据 传递 方式 特 点 SQL 注入 方式 
通过 浏览 器 URL 传递 数据 , URL 可 见 ,传送 数据 量 较 小 ， 
es 一 般 不 超过 2KB 从 地 址 栏 注 入 
隐 式 提交 ,URL 不 可 见 , 传 送 数据 量 较 大 ,理论 上 ,IIS5 中 
POST | 限制 为 100KB 从 特定 表单 注入 


(1) 默认 使 用 GET 方式 (一 般 新 闻 网 页 及 论坛 ) ,是 指 用 户 数据 通过 浏览 器 URL 来 
传递 ,也 就 是 说 ,从 客户 端 写 入 的 数据 会 在 URL 上 以 特定 的 编码 形式 显示 出 来 。 利 用 此 
方式 进行 注入 时 ,只 需 在 URL 的 尾部 ,添加 上 特定 的 SQL 语句 并 提交 。 

(2) 另 一 些 网 页 使 用 POST 方式 传递 数据 (如 用 户 登 录 的 界面 ) ,此 时 URL 不 会 再 显 
示 数 据 内 容 , 处 理 程序 会 读 取 客 户 端 录入 的 内 容 进 行 处 理 , 此 时 只 能 以 特定 形式 的 用 户 名 
及 口令 进行 提交 。 

当 这 些 注入 的 额外 数据 随 着 合法 数据 一 起 被 传送 到 数据 库 时 ,如 果 数 据 库存 在 注入 
漏洞 ,就 会 把 非法 语句 视 为 SQL 查询 语句 或 操纵 语句 一 并 进行 处 理 , 然 后 返回 相应 的 结 
果 。 因 此 从 返回 的 错误 信息 中 ,可 以 很 容易 地 识别 错误 、 定 位 错误 并 确认 是 否 存 在 注入 漏 
洞 ,存在 的 话 还 可 以 从 中 确认 注入 点 。 

实际 使 用 中 ,为 了 判断 是 否 能 注入 Web 程序 ,这 里 采用 了 一 个 经 典 的 判断 方法 : 
1 二 1、1 二 2 方法 ,打开 页 面 如 下 : 

(1) http://127.0.0.1/inject. asp? dbtype=sql&id=1 

(2) http://127.0.0.1/inject. asp? dbtype=sql&id=1 and 1=1 

(3) http://127.0.0.1/inject. asp? dbtype=sql&id=1 and 1=2 

观察 上 面 三 个 网 址 返回 的 结果 ,可 以 注入 的 表现 如 下 : 

(1) 正常 显示 (这 是 必然 的 ,不 然 就 是 程序 有 错误 了 ) 。 

(2) 正常 显示 ,内 容 与 (1) 相同 。 

(3) 提示 BOF 或 EOF (程序 没 做 任何 判断 时 ) ,或 提示 找 不 到 记录 (判断 了 rs. eof 
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时 ) ,或 显示 内 容 为 空 ( 程 序 加 了 on error resume next) ,总 之 与 (1) 完 全 不 同 。 

如 果 出 现 如 下 返回 结果 就 能 判断 页 面 是 不 可 以 注入 的 :打开 页 面 (1) 同 样 正常 显示 ， 
打开 页 面 (2) 和 页 面 (3) 一 般 都 会 有 程序 定义 的 错误 提示 ,或 提示 类 型 转换 时 出 错 ,总 之 与 
页 面 (1) 完 全 不 同 。 

如 果 显 示 页 面 会 动态 变化 (如 有 “已 阅读 XxX xX 次 ”) 时 ,页 面 (2) 的 判断 就 不 能 是 “ 相 
同 ”, 而 是 “关键 字 相 同 ”, 即 若 页 面 (1) 和 页 面 (2) 均 含有 某 个 关键 字 , 而 页 面 (3) 没 有 时 判 
断 可 以 注入 ; 若 页 面 (2) 不 含 关键 字 即 可 判断 不 能 注入 。 


3. SQL 注入 的 原理 


SQL 注入 原理 非常 简单 , 即 * 填 空 游戏 "。 这 个 空格 是 程序 员 在 SQL 语句 中 留 下 的 ， 
目的 是 根据 用 户 输入 或 者 URL 参数 构造 特定 的 查询 语句 ,从 而 得 到 特定 返回 结果 显示 
在 页 面 上 。 例 如 ,有 这 样 一 个 URL,http://127. 0. 0. LVinject. asp? dbtype 二 sql&id 二 1， 
程序 需要 根据 id 值 查询 数据 库 中 的 记录 ,那么 它 的 SQL 语句 就 要 这 样 留 空 : select * 
from admin where id 一 口 ; 这 个 空格 就 是 URL 中 参数 为 id 的 值 , 那 么 ASP 程序 中 便 要 
这 样 组 织 SQL 语句 : SqlStr 一 "select * from admin where id 一 "十 id, 这 样 最 终 的 SQL 
便 能 查询 出 id 为 1 的 记录 。 注 意 ,程序 并 没有 判断 id 的 内 容 , 而 把 它 默 认 当 成 了 一 个 数 
字 , 这 样 便 造成 了 SQL 注入 漏洞 。 

黑客 可 以 这 样 构造 URL, http://127. 0. 0. 1/inject. asp? dbtype = sql&id = 
1%200r%201 二 1( 其 中 %20 是 经 过 URL 编码 后 的 空格 符 ) ,这 样 填 人 空格 的 内 容 就 变 成 
“1 or 1 二 1” 这 个 看 似 非法 的 数字 ,但 是 ASP 程序 却 把 它 忠 实地 构造 成 : select * from 
admin where id 二 1 or 1 二 1, 其 中 1=1 永远 成 立 。 这 个 查询 语句 等 价 于 .: select * from 
admin, 就 能 查 出 admin 表 中 所 有 记录 ,完全 背离 了 程序 员 的 初衷 ,改变 了 ASP 程序 的 执 
行 结果 。 看 起 来 似乎 危害 不 大 ,但 这 只 是 最 简单 基本 的 语句 ,聪明 的 黑客 不 断 构造 出 各 种 
各 样 的 精妙 复杂 的 语句 ,利用 SQL Server 中 强大 的 不 为 人 所 知 的 功能 ,一 步 步 地 达到 随 
心 所 和 欲 地 操纵 数据 库 甚 至 操作 系统 的 目的 。 


4. SQL 注入 的 分 类 


SQL 注入 除了 可 以 分 为 GET 方式 和 POST 方式 的 注入 外 ,从 SQL 注入 的 内 容 及 效 
果 上 来 说 ,还 可 以 将 SQL 注入 划分 为 四 类 : SQL 操纵 .代码 注入 、 函 数 调用 注入 和 缓冲 区 
溢出 。 从 SQL 注入 的 一 些 技巧 方法 上 ,也 可 以 将 SQL 注入 划分 为 常规 SQL 注入 、 盲 注 、 
劳 注 以 及 跨 站 式 注入 等 。 

(1) SQL 操纵 : 攻击 者 通过 集合 运算 (如 UNION) 修 改 SQL 语句 ,或 者 通过 改变 
WHERE 子 句 (使 得 WHERE 子 句 总 为 真 ) 来 返回 一 个 不 同 的 结果 等 。 大 部 分 SQL 注入 
攻击 都 是 这 个 类 型 。 

(2) 代码 注入 : 攻击 者 在 原来 的 SQL 语句 中 插入 新 的 SQL 语句 或 数据 库 指令 。 典 
型 代码 注入 是 附加 一 个 SQL Server 的 EXECUTE 指令 到 存在 漏洞 的 SQL 语句 中 。 由 
于 代码 注入 时 总 需要 向 数据 库 同时 提交 多 个 任务 ,因此 只 有 当 该 数据 库 环 境 支持 同时 执 
行 多 个 SQL 语句 请 求 时 ,代码 注入 才能 发 挥 作用 。 
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(3) 函数 调用 注入 : 在 有 漏洞 的 SQL 语句 中 插入 定制 的 数据 库 函 数 ,这 些 函 数 调用 
可 以 用 来 作为 操作 系统 调用 或 者 操纵 数据 库 中 的 数据 ,用 这 种 方法 就 可 以 获得 系统 权限 
甚至 控制 整个 操作 系统 。 

(4) 缓冲 区 溢出 的 SQL 注入 : 它 是 函数 调用 注入 的 一 个 子 集 ,是 以 缓冲 区 溢出 漏洞 
为 基础 的 。 在 很 多 商业 的 和 开源 的 数据 库 中 都 存在 着 可 能 导致 缓冲 区 溢出 的 漏洞 。 

上 述 四 种 方法 中 ,前 两 种 是 目前 最 为 常见 的 SQL 注入 技术 ,后 两 种 则 出 现 的 较 少 ,但 
危害 性 与 不 可 知性 更 甚 。 

此 外 , 盲 注 是 指 通过 构造 特殊 的 SQL 语句 ,在 没有 返回 错误 信息 的 情况 下 进行 注入 。 
旁 注 是 指 从 旁 注入 ,也 就 是 利用 主机 上 面 的 一 个 虚拟 站 点 进行 渗透 ,此 类 手法 多 出 现 于 虚 
拟 主机 站 点 。 跨 站 式 注入 是 指 攻击 者 利用 程序 对 用 户 输入 过 滤 及 判断 的 不 足 , 写 入 或 插 
入 可 以 显示 在 页 面 上 并 对 其 他 用 户 造 成 影响 的 代码 ,一 般 来 说 跨 站 式 注入 最 容易 出 现 的 
地 方 是 网 站 的 留言 版 块 。 

SQL 注入 漏洞 在 网 上 极为 普遍 ,通常 是 由 于 程序 员 对 注入 不 了 解 ,或 者 程序 过 滤 不 
严格 ,或 者 因 某 个 参数 忘记 检查 导致 。 以 脚本 为 主 的 防范 策略 ( 防 注脚 本 ) 可 以 防范 绝 大 
多 数 的 SQL 注入 攻击 。 防 注脚 本 的 原理 很 简单 , 它 利 用 instr() 函 数 屏蔽 掉 所 有 的 敏感 
字符 (如 各 种 引号 、 分 号 、 转 义 字符 等 ), 当 非法 字符 出 现时 ,弹出 警告 对 话 框 并 重 定向 页 
面 , 以 保障 数据 库 的 安全 。 为 了 确保 站 点 万 无 一 失 , 仅 靠 脚本 是 不 够 的 ,还 可 以 更 改 IIS 
设置 ,无论 Web 程序 运行 中 出 什么 错 ,服务 器 都 只 提示 HTTP 500 错误 ,那么 攻击 者 就 
无 法 从 返回 的 错误 信息 中 了 解 他 想 要 得 到 的 信息 。 此 外 ,在 建立 网 站 时 ,有 必要 将 管理 员 
和 用 户 的 权限 做 到 最 小 化 。 除 了 这 些 被 动 防御 外 ,管理 员 还 应 当 经 常 检 查 日 志 记 录 , 及 时 
发 现 异常 。 


2.9.2 XSS 攻击 


XSS 攻击 是 一 种 针对 Web 浏览 器 的 攻击 ,到 目前 为 止 ,XSS 攻击 是 Web 安全 中 最 为 
常用 、 攻 击 成 功率 最 高 的 一 种 攻击 手段 ,而 且 现在 许多 大 型 知名 网 站 都 有 XSS 漏洞 。 
XSS 攻击 是 指 在 远程 Web 页 面 的 URL 或 HTML 代码 中 插入 具有 恶意 目的 的 Script 标 
签 , 如 JavaScript\VBScript、ActiveX 或 Flash 等 脚本 ,然后 诱导 信任 它们 的 用 户 单 击 它 
们 ,确保 恶意 代码 在 受害 人 的 计算 机 上 运行 ,以 便 窍 取 此 用 户 的 信息 改变 用 户 的 设置 、 破 
坏 用 户 数据 。 利 用 XSS 机 制 中 的 漏洞 而 发 动 的 各 种 攻击 通常 都 需要 受害 用 户 的 参与 ,以 
窃取 该 用 户 的 cookie 为 目标 。 

为 了 成 功 地 实现 一 个 跨 站 脚本 攻击 ,受害 用 户 必 须 执行 一 些 活动 : 或 者 是 单 击 一 个 
恶意 链接 ,或 者 是 浏览 一 个 已 经 被 恶意 用 户 进行 了 跨 站 脚本 注入 的 网 站 。 然 而 ,尽管 跨 站 
脚本 有 时 看 起 来 比较 复杂 ,并 且 成 功 地 实现 攻击 的 可 能 性 也 比较 低 ,但 像 eBay 这 样 的 网 
站 都 遭受 过 跨 站 脚本 攻击 。 

其 实 XSS 攻击 也 是 一 种 注入 ,不 过 是 针对 HTML 的 注入 。 可 以 这 么 说 ,如 果 攻 击 者 
提交 的 变量 没有 经 过 很 好 的 过 滤 就 放 到 了 数据 库 中 ,并 且 在 另 一 些 地 方 又 直接 取出 来 返 
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回 给 来 访问 的 其 他 用 户 , 这 就 导致 了 XSS 漏洞 的 产生 。 因 为 一 个 恶意 用 户 提交 的 
HTML 代码 最 终 被 其 他 浏览 该 网 站 的 用 户 访问 ,通过 这 些 HTML 代码 也 就 间接 控制 了 
访问 者 的 浏览 器 ,这 样 可 以 做 很 多 事情 ,甚至 恶意 用 户 能 获得 访问 者 计算 机 的 最 高 权限 。 
XSS 攻击 涉及 3 台 不 同 的 计算 机 : 攻击 者 .用 户 客户 端 和 Web 服务 器 ,图 2.4 给 出 了 跨 


站 脚本 (XSS) 攻 击 示 意图 。 
、 
> 


回 攻击 者 使 用 偷 来 
的 session 信 息 伪装 
成 该 用 户 


OD 通过 E-mail 或 
HTTP 将 Bank.com 
的 连接 发 给 用 户 
国 在 用 户 毫 不 知情 的 情况 下 ， 
野 本 将 用 户 的 cookie 和 session 
信息 发 送出 去 


Bank.com 


图 用 户 将 能 入 的 脚本 当 作 数据 发 送 


图 浏览 器 执行 脚本 后 ,返回 
引 浏览 器 执行 脚本 后 ,返回 数据 Web 服 务 器 


图 2.4 跨 站 脚本 (XSS) 攻 击 示意 图 


从 图 中 可 以 看 出 ,黑客 可 以 利用 网 页 中 存在 的 XSS 漏洞 .制造 出 多 种 不 同 的 欺骗 效 
果 , 让 受害 者 落 入 圈套 。 主 要 方法 是 针对 某 个 具有 跨 站 脚本 漏洞 的 网 页 ,利用 语句 闭合 原 
理 把 恶意 脚本 写 人 到 它 的 远程 服务 器 中 。 然 后 黑客 把 恶意 链接 通过 发 邮件 或 者 在 论坛 上 
发 布 等 多 种 方法 ,让 别人 去 点 击 , 从 而 达到 XSS 攻击 的 效果 。XSS 之 所 以 危害 如 此 之 大 
是 因为 它 利 用 了 人 们 的 好 奇 心 和 XSS 攻击 的 最 致命 特性 一 一 被 动 攻击 ,所 以 人 们 往往 在 
毫 不 知情 的 情况 下 ,已 经 受到 了 XSS 攻击 。 

通常 通过 注入 像 alert(xss) 的 JavaScript 代码 来 说 明 XSS 漏洞 的 存在 ,该 代码 能 够 
导致 含有 XSS 漏洞 的 Web 应 用 程序 显示 带 有 “xss” 字 样 的 弹出 窗口 。 从 技术 角度 来 说 ， 
这 确实 证 明 XSS 漏洞 的 存在 性 ,但 是 它 没有 真实 地 反映 XSS 漏洞 的 危害 性 。 

XSS 攻击 利用 了 用 户 和 服务 器 之 间 的 信任 关系 ,用 户 认为 该 页 面 是 可 信赖 的 ,但 
是 当 浏 览 器 下 载 该 页 面 ,嵌入 其 中 的 恶意 脚本 将 被 解释 执行 。XSS 攻击 在 多 数 情况 
下 不 会 对 服务 器 和 Web 程序 的 运行 造成 影响 ,但 对 客户 端的 安全 构成 严重 的 威胁 ， 
这 主要 是 由 于 服务 器 对 用 户 提 交 的 数据 过 滤 不 完整 造成 的 。 如 应 用 程序 未 能 安全 地 
管理 好 HTML 的 输入 (没有 过 滤 字 符 ' 一 ' 全 ' 和 VD) 和 输出 (没有 对 字符 ' 生 全 ' 和 '/" 
编码 ) 。 
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习题 


1. 隐藏 攻击 者 地 址 和 身份 的 技术 主要 有 哪些 ? 

2. 试 从 扫描 历史 的 发 展 和 网 络 攻 击 者 与 安全 专家 对 抗 的 角度 分 析 为 什么 会 出 现 复 
杂 多 样 的 扫描 类 型 ,需要 满足 哪 两 个 条 件 才 能 称 为 一 个 好 的 扫描 方式 。 

3, 请 查找 资料 讨论 ,什么 是 主动 操作 系统 探测 技术 ? 什么 是 被 动 操作 系统 探测 技 
术 ? 技术 上 有 什么 区 别 ? 探测 的 准确 性 上 有 什么 不 同 ? 

4. 讨论 网 络 安全 专家 和 网 络 管理 员 如 何 使 用 漏洞 扫描 工具 来 增加 网 络 的 安全 性 ? 
有 哪些 主要 的 漏洞 扫描 工具 ? 尝试 使 用 它们 来 查找 局 域 网 以 及 其 中 主机 的 安全 漏洞 并 加 
以 修补 。 

5. 网 卡 混杂 模式 的 嗅 探 的 工作 原理 是 什么 ? 

6， 如 何在 交换 式 局 域 网 中 结合 使 用 ARP 欺骗 工具 和 网 卡 混杂 模式 的 嗅 探 工具 ,来 
捕捉 发 送 给 其 他 主机 的 数据 包 , 并 能 够 解码 得 到 应 用 层 的 具体 数据 ? 

7. 什么 是 社会 工程 ? 举例 说 明 如 何 才能 在 工作 和 生活 中 避免 遭受 社会 工程 攻击 。 

8. 能 否 在 不 同 用 途 的 账户 中 采用 相同 的 口令 ,其 安全 漏洞 是 什么 ”而 在 不 同 账 户 中 
使 用 不 同 口令 时 ,是 否 还 有 安全 问题 ?为 什么 ? 

9. 通过 对 口令 字典 的 分 析 , 考 虑 如 何 才能 设置 一 个 好 的 口令 ? 口令 管理 上 还 有 哪些 
要 注意 的 问题 ? 

10. IP 欺骗 攻击 的 两 个 前 提 是 什么 ? 

11. 信任 和 认证 具有 怎样 的 关系 ? 

12. 应 该 从 哪儿 个 方面 防范 IP 欺骗 攻击 ? 

13. 根据 实验 原理 和 目的 的 不 同 ,会 话 劫持 又 分 为 哪 两 种 ? 说 出 它们 的 主要 区 别 ? 

14. 什么 是 拒绝 服务 攻击 ? 列举 出 至 少 4 种 拒绝 服务 攻击 方法 。 

15. 简单 描述 SYN Flood 和 Smurf 攻击 的 实现 原理 。 

16. 什么 是 倪 偶 主机 ? 一 台 计 算 机 变 成 DDoS 攻击 者 的 倪 偶 的 原因 是 什么 ”如 果 消 
除了 这 个 原因 ,DDoS 攻击 还 能 否 存在 ? 

17. 查找 资料 ,研究 目前 的 分 布 式 拒绝 服务 攻击 及 其 检测 和 防范 技术 的 最 新 发 展 
现状 。 

18. 简单 描述 缓冲 区 溢出 攻击 的 实现 原理 。 

19. 什么 是 SQL 注入 攻击 ? 什么 是 XSS 攻击 ? 两 者 有 什么 主要 区 别 ? 

20. 一 般 可 以 怎样 判断 数据 库 系统 是 否 存在 SQL 注入 的 漏洞 ? 

21. 查找 资料 ,研究 从 各 个 方面 如 何 有 效 防范 XSS 攻击 的 措施 。 

22. 请 调研 最 近 又 出 现 了 哪些 网 络 攻 击 与 系统 攻击 ,它们 的 原理 是 什么 。 


第 3 章 密码 学 概述 


密码 学 是 网 络 信息 安全 的 基础 ,密码 学 常 被 认为 是 数学 和 计算 机 科学 的 分 支 ,和 信息 
论 也 密切 相关 。 著 名 的 密码 学 者 Ron Rivest 解释 道 : “密码 学 是 关于 如 何在 敌人 存在 的 
环境 中 通信 ”。 密 码 学 的 首要 目的 是 隐藏 信 息 的 含义 ,并 不 是 隐藏 信息 的 存在 。 密 码 学 也 
促进 了 计算 机 科学 的 发 展 ,特别 是 计算 机 与 网 络 安 全 中 的 技术 发 展 。 密 码 学 已 被 应 用 于 
人 们 的 日 常生 活 , 如 自动 柜员 机 的 芯片 卡 、 电 子 商 务 等 。 目 前 主要 的 网 络 安全 技术 也 都 是 
以 密码 学 为 基础 的 ,使 用 最 广泛 的 加 密 机 制 是 对 称 密码 体制 和 公 钥 密码 体制 。 本 章 首 先 
介绍 密码 学 的 起 源 和 发 展 历程 ,再 介绍 密码 学 中 的 基本 概念 ,最 后 介绍 一 些 传统 加 密 技 
术 , 虽 然 这 些 加 密 技术 不 再 使 用 了 ,但 这 些 加 密 技术 中 的 一 些 思想 依然 在 现代 密码 学 中 得 
到 了 延伸 。 


3.1 密码 学 起 源 


密码 学 一 词 源 自 希 腊 语 krypto 及 “理念 ”两 词 ,意思 为 “隐藏 "及 “消息 ”。 它 是 研究 
信息 系统 安全 保密 的 科学 ,其 目的 是 为 两 人 在 不 安全 的 信道 上 进行 通信 而 不 被 破译 者 
获取 通信 的 内 容 。 相 传 最 早 使 用 密码 拥 在 木 棒 上 方法 是 公元 前 5 世纪 的 斯 巴 达 人 , 公 
元 前 404 年 ,斯 巴 达 国 ( 今 希 腊 ) 北 路 军统 帅 莱山 得 在 征服 雅典 之 后 ,本 国 的 信使 赶 到 ， 
献上 了 一 条 皮带 ,上 面 有 文字 ,通报 了 敌 将 断 其 归 路 的 企图 。 莱 山 得 当机立断 , 率 师 轻 
装 脱离 了 险 境 。 他 们 使 用 的 是 一 根 叫 scytale 的 棍子 ,送信 人 先 绕 棍子 卷 一 张 纸 条 , 然 
后 把 要 加 密 的 信息 写 在 上 面 ,接着 打开 纸 送 给 收 信 人 。 如 果 不 知道 棍子 的 宽度 (这 里 
作为 密 钥 ) 是 不 可 能 解密 里 面 的 内 容 的 。 后 来 ,罗马 的 军队 用 恺 撤 密 码 ( 三 个 字母 表 轮 
换 ) 进 行 通信 。 

中 国 周 朝 兵 书 ( 六 友 ， 龙 揪 ) 也 记载 了 密码 学 的 运用 ,其 中 的 《 阴 符 》 和 《 阴 书 》 便 记载 
了 周 武王 问 姜 子 牙关 于 征战 时 与 主将 通信 的 方式 : 

太公 日 :“ 主 与 将 ,有 阴 符 , 凡 八 等 。 有 大 胜 克 敌 之 符 , 长 一 尺 。 破 军 擒 将 之 符 , 长 九 
寸 。 降 城 得 邑 之 符 , 长 八 寸 。 却 敌 报 远 之 符 , 长 七 寸 。 警 众 坚 守之 符 , 长 六 寸 。 请 粮 益 兵 
之 符 ,长 五 寸 。 败 军 亡 将 之 符 ,长 四 寸 。 失 利 亡 土 之 符 , 长 三 寸 。 诸 奉 使 行 符 , 稽 留 , 若 符 
事 闻 , 汇 告 者 ,和 皆 诛 之 。 八 符 者 ,主将 秘闻 ,所 以 阴 通 言语 ,不 泄 中 外 相知 之 术 。 敌 虽 圣 知 ， 
英之 能 识 。” 

武王 问 太 公 日 :“…… 符 不 能 明 ; 相 去 辽 远 , 言 语 不 通 。 为 之 奈何 ?” 

太公 日 :“ 诸 有 阴 事 大 虑 , 当 用 书 , 不 用 符 。 主 以 书 遗 将 ,将 以 书 问 主 。 书 皆 一 合 而 再 
离 , 三 发 而 一 知 。 再 离 者 ,分 书 为 三 部 。 三 发 而 一 知 者 , 言 三 人 ,人 操 一 分 , 相 参 而 不 相知 
情 也 。 此 谓 阴 书 。 敌 虽 圣 智 , 莫 之 能 识 .” 
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阴 符 是 以 八 等 长 度 的 符 来 表达 不 同 的 消息 和 指令 ,可 算是 密码 学 中 的 蔡 代 法 
(substitution) ,把 信息 转变 成 敌人 看 不 懂 的 符号 。 至 于 阴 书 则 运用 了 移 位 法 ,把 书 一 分 
为 三 ,分 三 人 传递 ,要 把 三 份 书 重新 拼合 才能 获得 还 原 的 信息 。 

在 随后 的 19 个 世纪 中 ,主要 是 发 明 一 些 更 加 高 明 的 加 密 技术 ,这 些 技术 的 安全 性 通 
常 依赖 于 用 户 赋予 它们 多 大 的 信任 程度 。 然 而 密码 学 文献 发 展 有 个 很 奇妙 的 过 程 ,由 于 
战争 和 各 个 国家 之 间 的 利益 ,密码 学 重要 的 进展 很 少 在 公开 的 文献 中 出 现 。 密 码 学 的 发 
展 大 致 可 以 分 为 以 下 三 个 阶段 。 

第 一 阶段 是 从 几 千 年 前 到 1949 年 。 这 一 时 期 密码 学 还 没有 成 为 一 门 真正 的 科学 ,而 
是 一 门 艺术 。 密 码 学 专家 常常 是 凭 自己 的 直觉 和 信念 来 进行 密码 设计 ,而 对 密码 的 分 析 
也 多 基于 密码 分 析 者 ( 即 破译 者 ) 的 直觉 和 经 验 来 进行 的 。 第 一 次 世界 大 战 以 后 ,情况 开 
始 变 化 ,完全 处 于 秘密 工作 状态 的 美国 陆军 和 海军 的 机 要 部 门 开 始 在 密码 学 方面 取得 根 
本 性 的 进展 。 加 州 奥克兰 的 Edward H. Hebern 申请 了 第 一 个 转 轮机 专利 ,这 种 装置 在 
差不多 50 年 内 被 指定 为 美军 的 主要 密码 设备 。 但 是 由 于 战争 的 原因 ,公开 的 文件 寥寥 
无 几 。 

第 二 阶段 是 从 1949 年 到 1975 年 。1949 年 ,美国 数学 家 、 信 息 论 的 创始 人 Shannon 
Claude Elwood 发 表 了 《保密 系统 的 信息 理论 ) 一 文 , 它 标志 着 密码 学 阶段 的 开始 。 同 时 
以 这 篇 文章 为 标志 的 信息 论 为 对 称 密 钥 密 码 系统 建立 了 理论 基础 ,从 此 密码 学 成 为 一 门 
科学 。 由 于 保密 的 需要 ,这 时 人 们 基本 上 看 不 到 关于 密码 学 的 文献 和 资料 ,平常 民众 是 接 
触 不 到 密码 的 。1967 年 David Kahn 出 版 了 一 本 叫做 (破译 者 》(The Codebreakers ) 的 小 
说 , 它 并 没有 任何 新 的 技术 思想 ,但 却 对 密码 学 的 历史 做 了 相当 完整 的 记述 。 这 部 著作 的 
意义 不 仅 在 于 它 涉 及 相当 广泛 的 领域 ,而 且 在 于 它 使 成 千 上 万 原本 不 知道 密码 学 的 人 了 
解 了 密码 学 。 新 的 密码 学 文章 慢 慢 开始 源源 不 断 地 被 编写 出 来 ,使 人 们 知道 了 密码 学 。 
20 世纪 70 年 代 初期 ,IBM 发 表 了 有 关 密 码 学 的 几 篇 技术 报告 ,从 而 使 更 多 的 人 了 解 了 密 
码 学 的 存在 。 但 科学 理论 的 产生 并 没有 使 密码 学 失去 艺术 的 一 面 , 如 今 , 密 码 学 仍 是 一 门 
具有 艺术 性 的 科学 。 

第 三 阶段 为 1976 年 至 今 。1976 年 ,Diffie 和 Hellman 发 表 了 《密码 学 的 新 方向 ) 一 
文 ,他 们 首次 证 明了 在 发 送 端 和 接收 端 不 需要 传输 密 钥 的 保密 通信 的 可 能 性 ,从 而 开 
创 了 公 钥 密码 学 的 新 纪元 。 该 文章 也 成 了 区 分 古典 密码 和 现代 密码 的 标志 。1977 年 ， 
美国 的 数据 加 密 标准 (DES) 公 布 。 这 两 件 事情 导致 了 对 密码 学 的 空前 研究 。 从 这 时 候 
起 ,开始 对 密码 在 民用 方面 进行 研究 ,密码 才 开始 充分 发 挥 它 的 商用 价值 和 社会 价值 ， 
人 们 才 开始 接触 到 密码 学 。 这 种 转变 也 促使 了 密码 学 的 空前 发 展 。 密 码 学 发 展 至 今 ， 
已 有 两 大 类 密码 系统 : 第 一 类 为 对 称 密 钥 密 码 系统 ,第 二 类 为 非 对 称 密 钥 (公开 密 钥 ) 
密码 系统 。 

历史 车 轮 滚滚 向 前 ,密码 学 紧 跟 科学 技术 前 进 的 步伐 ,根据 密码 学 所 使 用 的 科学 技 
术 , 还 可 以 将 其 分 为 如 下 发 展 历程 : 密码 学 的 初级 形式 一 一 手工 阶段 ,经 过 中 间 形 式 一 一 
机 械 阶段 ,发 展 到 今天 的 高 级 形式 一 一 电子 与 计算 机 阶段 。 现 代 密 码 分 析 依 赖 数学 方面 
的 知识 ,现代 密码 学 离开 数学 是 不 可 想象 的 ,密码 学 涉及 数学 的 各 个 分 支 ,如 代数 、 数 论 、 
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概率 论 、 信 息 论 几何、 组 合 学 等 。 不 仅 如 此 ,密码 学 的 研究 还 需要 具有 其 他 学 科 的 专业 知 
识 , 如 物理 .电机 工程 .量子 力学 .计算 机 科学 .电子 学 系统 工程 .语言 学 等 。 反 过 来 ,密码 
学 的 研究 也 促进 了 上 述 各 科学 科 的 发 展 。 

计算 机 的 出 现 , 大 大 促进 了 密码 学 的 变革 。 由 于 商业 应 用 和 大 量 的 计算 机 网 络 通信 
的 需要 ,民间 对 数据 保护 ,数据 传输 的 安全 性 、 防 止 工业 谍报 活动 等 课题 越 来 越 重 视 ,密码 
学 的 发 展 从 此 进入 了 一 个 革新 的 阶段 ,与 此 同时 ,密码 学 的 研究 开始 大 规模 地 扩展 到 
民用 。 


3.2 密码 的 基本 概念 


首先 定义 一 些 术语 。 原 始 的 消息 为 明文 (Plaintext) ,而 加 密 后 的 消息 为 密 文 
(Cipher)。 从 明文 到 密 文 变 换 过 程 称 为 加 密 (Encryption) ,一 般 用 下 表示 加 密 过 程 , 从 密 
文 到 明文 的 变换 过 程 称 为 解密 (Decryption) ,一 般 用 D 表示 解密 过 程 。 用 于 加 密 的 各 种 
方案 构成 的 研究 领域 称 为 密码 编码 学 。 这 样 的 加 密 方案 称 为 密码 体制 或 密码 。 不 知道 任 
何 加 密 细 节 的 条 件 下 解密 消息 的 技术 属于 密码 分 析 学 的 范畴 ,密码 分 析 学 即 外 行 所 说 的 
“破译 ”。 密 码 编码 学 和 密码 分 析 学 统称 密码 学 。 


3.2.1 密码 编码 学 


密码 编码 学 的 主要 任务 是 研究 安全 、 高 效 的 信息 加 密 算法 和 信息 认证 算法 的 设计 理 
论 与 技术 ,密码 系统 设计 通常 的 基本 要 求 是 : 
(1) 知道 密 钥 Kap 时 ,加 密 Ens 容易 计算 。 
(2) 知道 密 钥 Kap 时 ,解密 Dn 容易 计算 。 
(3) 不 知道 密 钥 Ks 时 ,由 密 文 C 二 Enp (MD) 不 容易 推导 出 明文 M。 
以 上 三 点 要 求 说 明 密 码 系统 设计 的 原则 是 : 对 合法 的 通信 双方 来 说 ,加 密 和 解密 变 
换 是 容易 的 ;对 密码 分 析 员 来 说 ,由 密 文 推导 出 明文 是 困难 的 。 衡 量 一 个 密码 系统 的 好 
坏 , 当 然 应 当 以 它 能 否 被 攻破 和 易于 被 攻破 为 基本 标准 。 理 论 上 不 可 攻破 的 密码 系统 是 
一 次 一 密 , 密 钥 只 对 一 个 消息 进行 加 解密 ,之 后 丢弃 不 用 ,每 一 条 新 消息 都 需要 一 个 与 其 
等 长 的 新 密 钥 。 这 就 是 著名 的 一 次 一 密 , 它 是 不 可 攻破 的 。 但 是 在 实际 应 用 中 ,这 种 系统 
却 受 到 很 大 限制 : 
。 分 发 和 存储 这 样 大 的 随机 密 钥 序 列 ( 它 和 明文 信息 等 长 ), 确 保密 钥 的 安全 是 很 困 
难 的 。 
。 如 何 生成 真正 的 随机 序列 也 是 一 个 现实 问题 。 因 此 ,人 们 转 而 寻求 实际 上 不 可 攻 
破 的 密码 系统 。 
所 谓 实际 上 不 可 攻破 的 密码 系统 ,是 指 它们 在 理论 上 虽然 是 可 以 攻破 的 ,但 真正 要 攻 
破 它 们 ,所 需要 的 计算 资源 如 计算 机 时 间 和 存储 空间 超出 了 实际 上 的 可 能 性 。 例 如 ,破解 
某 个 密码 系统 需要 耗费 计算 机 机 时 200 年 ,这 个 密码 系统 实际 上 非常 安全 。 密 码 编码 学 
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系统 具有 以 下 三 个 独立 的 特征 : 

(1) 转换 明文 为 密 文 的 运算 类 型 。 所 有 的 加 密 算法 都 基于 两 个 原理 : 代 换 和 置换 ， 
代 换 是 将 明文 中 的 每 个 元 素 ( 如 位 .字母 ,位 组 或 字 组 等 ) 映 射 成 另 一 个 元 素 ; 置 换 是 将 明 
文中 的 元 素 重 新 排列 。 上 述 运算 的 基本 要 求 是 不 允许 有 信息 丢失 ( 即 所 有 的 运算 是 可 逆 
的 )。 大 多 数 密 码 体制 ,都 使 用 了 多 层 代 换 和 置换 。 

(2) 所 用 的 密 钥 数 。 如 果 发 送 方 和 接收 方 使 用 相同 的 密 钥 ,这 种 密码 就 称 为 对 称 密 
码 、 单 密 钥 密码 .秘密 钥 密码 或 传统 密码 。 如 果 收 发 双方 使 用 不 同 的 密 钥 , 这 种 密码 就 称 
为 非 对 称 密码 、 双 钥 或 公 钥 密 码 。 

(3) 处 理 明文 的 方法 。 分 组 密码 每 次 处 理 输入 的 一 组 元 素 , 相 应 地 输出 一 组 元 素 。 
流 密 码 则 是 连续 地 处 理 输 入 元 素 , 每 次 输出 一 个 元 素 。 


3.2.2 密码 分 析 学 


密码 分 析 是 指 试图 找 出 明文 或 密 钥 的 工作 ,通常 目标 是 恢复 使 用 的 密 钥 ,而 不 是 仅仅 
恢复 出 单个 密 文 对 应 的 明文 ,这 样 可 以 获得 更 多 有 价值 的 信息 。 攻 击 对 称 密码 体制 一 般 
有 两 种 方法 

(1) 密码 分 析 学 : 密码 分 析 学 攻击 通常 分 析 加 密 算 法 的 性 质 , 利 用 明文 的 一 般 特 征 
或 某 些 明 密 文 对 。 破 译 者 使 用 的 策略 取决 于 加 密 方案 的 固有 性 质 以 及 破译 者 掌握 的 信 
息 。 这 种 形式 的 攻击 企图 利用 算法 的 特征 来 推导 出 特别 的 明文 或 使 用 的 密 钥 。 

(2) 穷 举 攻击 : 攻击 者 对 一 条 密 文 尝试 所 有 可 能 的 密 钥 , 直 到 把 它 转化 为 可 读 的 有 
意义 的 明文 。 平 均 而 言 ,获得 成 功 至 少 要 尝试 所 有 可 能 密 钥 的 一 半 。 

如 果 上 述 任 意 一 种 攻击 能 成 功 地 推导 出 密 钥 , 那 么 影响 将 是 灾难 性 的 ,将 会 危及 所 有 
未 来 和 过 去 使 用 该 密 钥 加 密 的 消息 的 安全 。 

首先 考虑 密码 分 析 学 ,然后 讨论 穷 举 攻击 。 

基于 密码 分 析 者 知道 信息 的 多 少 , 表 3. 1 概括 了 密码 攻击 的 几 种 类 型 , 表 中 唯 密 文 攻 
击 难度 最 大 。 有 些 情 况 下 ,攻击 者 甚至 不 知道 加 密 算法 ,但 是 我 们 通常 假设 对 手 知道 。 这 
一 条 早 在 1883 年 柯 克 霍 夫 斯 (A. Kerchoffs) 在 其 名 著 《 军 事 密 码 学 )》 中 就 建立 了 一 个 重 
要 原则 : 密码 算法 即使 为 密码 分 析 者 所 知 ,也 应 该 无 助 于 用 来 推导 出 明文 和 密 钥 。 这 一 
原则 已 被 人 广泛 接受 , 取 名 为 柯 克 霍 夫 斯 原则 ,并 成 为 密码 系统 设计 的 重要 原则 之 一 。 原 
因 是 依赖 加 密 算 法 本 身 的 机 密 性 来 防范 密码 分 析 者 的 代价 较 高 ,一 旦 对 手 知道 加 密 算法 
则 所 有 消息 不 再 安全 。 重 新 设计 加 密 算法 并 进行 更 换 的 成 本 也 较 大 ,通过 密 钥 保密 而 不 
是 加 密 算法 保密 来 防范 密码 分 析 相 对 容易 ,可 以 通过 更 换 密 钥 加 强 机 密 性 。 和 更 换算 法 
的 成 本 相 比 ,更 换 密 钥 的 成 本 也 要 小 很 多 。 

这 种 情况 下 ,一 种 可 能 的 攻击 是 试 遍 所 有 可 能 密 钥 的 穷 举 攻击 。 如 果 密 钥 空 间 非 常 
大 ,这 种 方法 就 不 太 实际 。 因 此 攻击 者 必须 依赖 于 对 密 文本 身 的 分 析 , 这 一 般 要 运用 各 种 
统计 方法 。 使 用 这 种 方法 ,攻击 者 对 隐 含 的 明文 类 型 必须 有 所 了 解 ,例如 ,明文 是 英文 文 
本 或 法 文 文本 、 可 执行 文件 Java 源 代 码 文件 、 会 计 文件 等 。 
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表 3.1 密码 攻击 的 类 型 


攻击 类 型 密码 分 析 者 已 知 的 信息 
唯 密 文 攻击 。 加 密 算法 
ciphertext only 。 要 解密 的 密 文 
。 加 密 算法 
Rown pie。 | “要 解密 的 和 文 
。 用 (与 待 解 的 密 文 ) 同 一 密 钥 加 密 的 一 个 或 多 个 密 文 对 
。 加 密 算法 
选择 明文 攻击 。 要 解密 的 密 文 
chosen plaintext 。 分 析 者 任意 选择 的 一 些 明 文 ,以 及 对 应 的 密 文 (与 待 解 的 密 文 使 用 同 
一 密 钥 加 密 ) 
。 加 密 算法 
选择 密 文 攻击 。 要 解密 的 密 文 
chosen ciphertext 。 分 析 者 有 目的 地 选择 一 些 密 文 ,以 及 对 应 的 明文 (与 待 解 的 密 文 使 用 
同一 密 钥 解 密 ) 
。 加 密 算法 
。 要 解密 的 密 文 
选择 文本 攻击 。 分 析 者 任意 选择 的 明文 ,以 及 对 应 的 密 文 (与 待 解 的 密 文 使 用 同一 密 
chosen text 钥 加 密 ) 
。 分 析 者 有 目的 地 选择 一 些 密 文 ,以 及 对 应 的 明文 (与 待 解 的 密 文 使 用 
同一 密 钥 解 密 ) 


(1) 唯 密 文 攻击 。 密 码 分 析 者 有 一 些 消息 的 密 文 ,这 些 消息 都 用 同一 算法 加 密 。 密 
码 分 析 者 的 任务 是 恢复 尽 可 能 多 的 明文 ,或 者 最 好 能 推算 出 加 密 消息 的 密 钥 来 ,以 便 可 采 
用 相同 的 密 钥 解 出 其 他 被 加 密 的 消息 。 

蕊 知 ; 

C= BM GG = EM eG = BM 

推导 出 : Mi ,Ms ,…,Mi, 或 者 密 钥 玉 ,或 者 找 出 一 个 算法 从 Citi 二 Ei (Miti) 推 导出 
Mi+1。 唯 密 文 攻击 是 最 容易 防范 的 ,因为 攻击 者 拥有 的 信息 量 最 少 。 不 过 在 很 多 情况 
下 ,分 析 者 可 以 得 到 更 多 的 信息 。 分 析 者 可 以 捕获 到 一 段 或 更 多 的 明文 信息 及 相应 密 文 ， 
也 可 能 知道 某 段 明文 信息 的 格式 等 。 例 如 ,按照 Postscript 格式 加 密 的 文件 总 是 以 相同 
的 格式 开头 ,还 有 ,电子 金融 消息 往往 有 标准 化 的 文件 头 或 者 标志 等 。 这 些 都 是 已 知 明文 
攻击 的 例子 。 拥 有 这 些 知 识 的 分 析 者 就 可 以 从 分 析 明 文人 手 来 推导 出 密 钥 。 

(2) 已 知 明文 攻击 。 密 码 分 析 者 不 仅 可 以 得 到 一 些 消息 的 密 文 ,而 且 也 知道 这 些 消 
息 的 明文 。 分 析 者 的 任务 是 用 加 密 消息 推出 用 来 加 密 的 密 钥 或 者 推导 出 一 个 算法 ,用 此 
算法 可 以 对 用 同一 密 钥 加 密 的 任何 新 的 消息 进行 解密 。 

已 知 : 

Mi Ci = 及 (COM ,Ma ,Cs = Ei (M2) ,Mi,C; = Es(M;) 

推导 出 : 密 钥 开 , 或 者 从 Citi 二 Ei(Mi+i) 推 导出 Mi+1 的 算法 。 

与 已 知 明文 攻击 紧密 相关 的 是 可 能 词 攻击 。 如 果 攻 击 者 处 理 的 是 一 般 分 散文 字 信 
息 , 他 可 能 对 信息 的 内 容 一 无 所 知 ,如 果 他 处 理 的 是 一 些 特定 的 信息 ,他 就 可 能 知道 其 中 
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的 部 分 内 容 。 例 如 ,对 于 一 个 完整 的 数据 库 文件 ,攻击 者 可 能 知道 放 在 文件 最 前 面 的 是 某 
些 关 键 词 。 又 如 , 某 公司 开 发 的 程序 源 代码 可 能 含有 该 公司 的 版 权 信息 ,并 且 放 在 某 个 标 
准 位 置 。 

(3) 选择 明文 攻击 。 分 析 者 不 仅 可 以 得 到 一 些 消息 的 密 文 和 相应 的 明文 ,而 且 他 们 
也 可 以 选择 被 加 密 的 明文 。 也 就 是 说 分 析 者 能 够 通过 某 种 方式 ,让 发 送 方 在 发 送 的 信息 
中 插入 一 段 由 他 选择 的 信息 ,一 个 例子 是 差分 密码 分 析 。 这 个 比 已 知 明文 攻击 更 有 效 , 因 
为 密码 分 析 者 能 选择 特定 的 明文 块 去 加 密 ,那些 块 可 能 产生 更 多 关于 密 钥 的 信息 ,分析 者 
的 任务 是 推出 用 来 加 密 消 息 的 密 钥 或 者 导出 一 个 算法 ,此 算法 可 以 对 同一 密 钥 加 密 的 任 
何 新 的 消息 进行 解密 。 

已 知 : Mi,Ci=Ex(Mi) ,Mi ,C=E(M) ,Mi,C;=E(M;), 其 中 Mi Ma ,Mi 
可 由 密码 分 析 者 选择 。 

推导 出 : 密 钥 ,或 者 从 Citi 二 ECMi+1) 推 导出 Mi+1 的 算法 。 

一 般 说 来 ,如 果 分 析 者 有 办 法 选择 明文 加 密 , 那 么 他 将 特意 选取 那些 最 有 可 能 恢复 出 
密 钥 的 数据 。 

表 3.1 还 列举 了 另外 两 种 类 型 的 攻击 方法 :选择 密 文 攻击 和 选择 文本 攻击 。 它 们 在 
密码 分 析 技 术 中 很 少 用 到 ,但 是 仍然 是 两 种 可 能 的 攻击 方法 。 

只 有 相对 较 弱 的 算法 才 抵挡 不 住 唯 密 文 攻 击 。 一 般 地 ,加 密 算法 起 码 要 能 经 受 得 住 
已 知 明文 攻击 才 行 。 

此 外 ,还 有 两 个 概念 值得 注意 。 如 果 一 个 密码 体制 满足 条 件 : 无 论 有 多 少 可 使 用 的 
密 文 ,都 不 足以 唯一 的 确定 密 文 所 对 应 的 明文 , 则 称 该 加 密 体制 是 无 条 件 安全 的 。 也 就 是 
说 ,无 论 花 多 少时 间 ,攻击 者 都 无 法 将 密 文 解密 ,因为 他 所 需 的 信息 不 在 密 文 里 。 除 了 一 
次 一 密 ( 一 次 一 密 的 具体 内 容 将 会 在 以 后 的 文中 讲 到 ) 之 外 ,所 有 的 加 密 算 法 都 不 是 无 条 
件 安 全 的 。 因 此 ,加 密 算法 的 使 用 者 应 挑选 尽量 满足 以 下 标准 的 算法 : 

。 破译 密码 的 代价 超出 密 文 信息 的 价值 。 

。 破译 密码 的 时 间 超 出 密 文 信息 的 有 效 生命 期 。 

如 果 满 足 了 上 述 两 条 标准 , 则 加 密 体制 是 计算 上 安全 的 ,因为 攻击 者 成 功 破译 密 文 所 
需 的 工作 量 是 非常 巨大 的 。 对 称 密码 体制 的 所 有 分 析 方 法 都 利用 了 这 样 一 个 事实 , 即 明 
文 的 结构 和 模式 在 加 密 之 后 仍然 保存 了 下 来 ,并 且 在 密 文中 能 找到 一 些 蛛丝马迹 。 随 着 
对 各 种 对 称 密码 体制 讨论 的 深入 ,这 一 点 将 会 变 得 很 明显 。 对 公 钥 密码 体制 的 分 析 是 依 
据 一 个 完全 不 同 的 假设 , 即 密 钥 对 的 数学 性 质 使 得 无 法 从 一 个 密 钥 推 出 另 一 个 密 钥 ,在 后 
面 章节 中 会 详细 介绍 公 钥 密码 体制 。 

穷 举 攻击 试 遍 所 有 密 钥 直 到 有 一 个 可 用 的 密 钥 能 够 把 密 文 还 原 成 明文 ,这 就 是 穷 举 
攻击 。 我 们 可 以 从 这 种 方法 入 手 , 考 虑 其 所 需 的 时 间 代 价 。 要 获得 成 功 一 般 需 要 尝试 所 
有 可 能 密 钥 中 的 一 半 , 表 3. 2 给 出 了 对 于 不 同 密 钥 空 间 所 耗 用 的 时 间 。DES( 数 据 加 密 标 
准 ) 算 法 使 用 的 是 56 位 密 钥 ,3DES 使 用 的 是 168 位 密 钥 ,AES( 高 级 加 密 标准 ) 的 最 短 密 
钥 长 度 是 128 位 。 表 中 最 后 一 行 还 列 出 了 采用 26 个 字母 的 排列 作为 密 钥 的 代 换 密码 的 
一 些 结果 。 假 设 执行 一 次 解密 需要 lws( 这 是 今天 普通 计算 机 的 速度 ) , 表 中 数据 说 明了 
对 于 不 同 长 度 密 钥 执行 穷尽 搜索 所 需 的 时 间 。 随 着 大 规模 并 行 计算 机 的 应 用 ,处 理 速 度 
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可 能 会 高 出 若干 个 数量 级 。 表 3. 2 最 后 一 列 列举 了 每 微 秒 执行 100 万 次 解密 所 需 的 时 
间 。 可 以 看 出 ,DES 算法 也 不 再 是 安全 的 算法 。 
表 3.2 不 同 密 钥 空间 所 耗 用 的 时 间 


密 钥 大 小 (位 ) 密 钥 个 数 人 A 人 
人 22 一 4.3X10? 23ps 一 35. 8min 2.15ms 
56 2 =7.2X10" 25ps 一 1142 年 10.01 小 时 
128 21% =3. 4X10% 217 ps 二 5.4X10* 年 5.4X10M 年 
168 21% =3.7X10” 229 ps 一 5.9X10? 年 5.9X10” 年 
26 个 字符 的 排列 组 合 | 26! 一 4X102 2X10*ps 二 6.4X10* 年 6.4X105 年 


3.2.3 密 钥 管理 学 


密码 算法 对 密码 系统 的 安全 性 有 决定 性 的 作用 ,但 很 多 情况 下 ,一 个 密码 应 用 系统 被 
破解 往往 不 是 密码 算法 本 身 造 成 的 ,而 是 密码 系统 的 密 钥 管理 方案 不 当 造成 的 。 例 如 ,将 
密 钥 与 加 密 算法 不 加 保护 地 一 起 存储 在 计算 机 中 ,那么 任何 侵入 到 该 计算 机 的 攻击 者 都 
能 得 到 密码 算法 和 密 钥 ,相应 的 任何 加 密 消 息 都 可 以 被 破解 。 再 如 ,使 用 的 密 钥 过 于 简 
单 , 如 使 用 生日 .电话 号 码 等 作为 密 钥 ,那么 就 会 在 本 质 上 降低 密 钥 的 安全 强度 。 此 时 , 破 
译 者 只 需要 对 那些 具有 特定 意义 的 可 能 密 钥 进行 穷 举 攻击 即 可 。 随 着 互联 网 的 发 展 , 密 
码 学 在 网 络 安全 中 得 到 了 广泛 的 应 用 。 由 于 互联 网 本 身 是 不 可 靠 的 ,随时 可 能 被 攻击 者 
监听 ,修改 、 重 放 数 据 ,因此 通信 双方 为 了 能 达到 安全 通信 的 目的 ,需要 在 互联 网 本 身 不 安 
全 这 个 前 提 下 ,对 安全 通信 所 使 用 的 密 钥 进 行 协商 和 管理 。 根 据 Kerckhoff 假设 ,密码 分 
析 者 知道 所 使 用 的 密码 体制 ,拥有 除了 密 钥 以 外 的 所 有 关于 加 密 函 数 的 全 部 知识 。 因 此 
密码 系统 的 安全 性 完全 取决 于 所 使 用 的 密 钥 的 安全 , 密 钥 管 理 是 密码 系统 不 可 缺少 的 重 
要 组 成 部 分 ,在 密码 系统 中 起 着 根本 的 作用 。 密 钥 管 理 相当 复杂 , 既 有 技术 问题 ,也 有 管 
理 策 略 问题 ,从 某 种 程度 上 密 钥 管理 可 以 说 是 密码 系统 中 最 重要 、 最 困难 的 部 分 ,然而 密 
钥 管 理 却 往往 是 人 们 最 容易 忽视 的 地 方 。 

密 钥 管理 包括 密 钥 的 生产 、 装 人、 存储 、 备 份 、 分 配 、 更 新 吊销、 销毁 等 内 容 ,其 中 分 配 
和 存储 是 最 棘手 的 问题 。 密 钥 管 理 的 内 容 包括 : 

(1) 密 钥 生 成 。 密 钥 生成 是 密 钥 管理 的 首要 环节 , 密 钥 生成 的 主要 设备 是 密 钥 生 成 
器 , 密 钥 生成 可 分 为 集中 式 密 钥 生 成 和 分 布 式 密 钥 生成 两 种 模式 。 对 于 前 者 , 密 钥 由 可 信 
的 密 钥 管理 中 心 生 成 ;对 于 后 者 , 密 钥 由 网 络 中 的 多 个 节点 通过 协商 来 生成 。 

(2) 密 钥 的 装 和 人 和 更 换 。 密 钥 可 通过 键盘 、 密 钥 注 和 器、 磁卡 智能 卡 等 设备 和 介质 
装 入 。 密 钥 的 生命 周期 结束 ,必须 更 换 和 销毁 密 钥 ,同时 密 钥 泄 露 后 也 必须 对 其 进行 销毁 
和 更 新 。 

(3) 密 钥 分 配 。 主 要 有 两 种 模式 : 集中 式 分 配 和 分 布 式 分 配 。 集 中 式 分 配 模式 由 一 
个 可 信和 的 密 钥 管理 中 心 给 用 户 分 发 密 钥 ,这 种 模式 具有 效率 高 的 优点 ,但 管理 中 心 容易 成 
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为 攻击 者 的 攻击 目标 ,存在 单 点 失效 问题 。 分 布 式 密 钥 分 配 模 式 , 则 由 多 个 服务 器 通过 协 
商 来 分 配 密 钥 ,该 模式 能 极 大 地 提高 系统 的 安全 性 和 密 钥 的 可 用 性 。 如 果 一 个 服务 器 被 
攻击 ,其 他 服务 器 还 可 以 帮助 被 攻击 的 服务 器 恢复 密 钥 ,在 灾难 恢复 方面 具有 优势 。 

(4) 密 钥 保护 和 存储 。 所 有 生成 和 分 配 的 密 钥 必须 具有 保护 措施 , 密 钥 保护 装置 必 
须 绝 对 安全 , 密 钥 存储 要 保证 密 钥 的 保密 性 , 密 钥 应 以 密 文 形式 出 现 。 

(5) 密 钥 的 吊销 。 如 果 密 钥 丢 失 或 因 某 种 原因 不 能 使 用 , 且 发 生 在 密 钥 有 效 期 内 , 则 
需要 将 它 从 正常 使 用 的 密 钥 集中 除去 , 称 为 密 钥 吊 销 。 采 用 证 书 机 制 的 公 钥 可 以 通过 吊 
销 公 钥 证 书 实现 对 公 钥 的 吊销 。 

(6) 密 钥 的 销毁 。 不 再 使 用 的 旧 密 钥 必 须 销毁 ,否则 敌手 可 用 其 解密 用 该 密 钥 加 密 
的 文件 , 且 利 用 旧 密 钥 进 行 分 析 和 破译 密码 体制 。 

如 果 对 密 钥 进 行 分 类 ,可 将 密 钥 分 为 主机 主 密 钥 、 密 钥 加 密 密 钥 、 会 话 密 钥 等 类 型 : 

(1) 主机 主 密 钥 (host master key) 。 对 密 钥 加 密 密 钥 进行 加 密 的 密 钥 称 为 主机 主 密 
钥 。 它 一 般 保存 于 网 络 中 心 、 主 节点 或 主 处 理 器 中 ,受到 严格 的 物理 保护 。 

(2) 密 钥 加 密 密 钥 (key encryption key)。 在 传输 会 话 密 钥 时 ,用 来 加 密会 话 密 钥 的 
密 钥 称 为 密 钥 加 密 密 钥 ,也 称 为 次 主 密 钥 (submaster key) 或 二 级 密 钥 (secondary key)。 
通信 和 网络 中 各 节点 的 密 钥 加 密 密 钥 应 互 不 相同 ,在 主机 和 主机 之 间 以 及 主机 和 终端 之 间 
传送 会 话 密 钥 时 都 需要 有 相应 的 密 钥 加 密 密 钥 。 

(3) 会 话 密 钥 (session key)。 用 于 通信 双方 交换 数据 时 使 用 的 密 钥 。 根 据 会 话 密 钥 
的 用 途 ,可 分 为 数据 加 密 密 钥 ,文件 密 钥 等 。 用 于 保护 传输 的 数据 的 会 话 密 钥 叫 数据 加 密 
密 钥 ; 用 来 保护 文件 的 会 话 密 钥 称 为 文件 密 钥 。 会 话 密 钥 可 以 由 可 信 的 密 钥 管理 中 心 分 
配 , 也 可 由 通信 方 协商 获得 。 通 常会 话 密 钥 生存 周期 很 短 , 一 次 通信 结束 后 ,该 密 钥 就 会 
被 销毁 。 

现 有 密码 系统 的 设计 大 都 采用 了 层次 化 的 密 钥 结构 ,这 种 层次 化 的 密 钥 结构 与 对 系 
统 的 密 钥 控制 关系 是 对 应 的 。 一 个 常见 的 三 级 密 钥 管理 层次 结构 如 图 3. 1 所 示 。 


密 钥 协议 


密 钥 协议 


密 钥 协议 


明文 


图 3.1 三 级 密 钥 管理 的 层次 结构 
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密 钥 分 级 大 大 提高 了 密 钥 的 安全 人 性。 一般 来 说 , 越 低级 的 密 钥 更 换 越 频繁 ,最 低级 的 
密 钥 可 以 做 到 一 次 一 换 。 低 级 密 钥 具有 相对 独立 性 ,这 样 , 它 的 泄露 或 者 破译 不 会 影响 到 
上 级 密 钥 的 安全 ,而 且 它们 的 生成 方式 、 结 构 . 内 容 可 以 根据 协议 不 断 变换 。 于 是 ,对 于 攻 
击 者 而 言 , 密 钥 分 级 系统 是 一 个 动态 系统 ,对 低级 密 钥 的 攻击 不 会 影响 到 高 级 主 密 钥 。 密 
钥 的 分 级 也 方便 了 密 钥 的 管理 ,使 密 钥 管 理 自动 化 成 为 可 能 。 

密 钥 还 可 以 分 散 管理 ,如 采用 物理 分 散 管理 ,将 高 层 密 钥 保存 在 不 同 的 地 方 , 如 天 一 
KRGKI,K 为 高 层 密 钥 ,KR 保存 在 密码 机 内 ,KI 保存 在 密 钥 载体 由 用 户 保留 ,这 样 即使 
密码 机 丢失 ,或 用 户 密 钥 载体 丢失 ,密码 机 内 的 信息 仍然 由 天 加 密 保护 。 这 一 思想 可 以 
扩展 到 秘密 共享 机 制 , 即 使 用 秘密 共享 来 分 别 保存 主 密 钥 。 


3.3 ”传统 密码 技术 


本 节 讨 论 的 传统 密码 技术 主要 是 指 在 计算 机 出 现 之 前 使 用 的 加 密 方法 ,本 节 将 对 传 
统 的 密码 学 的 典型 方法 进行 简要 的 论述 和 总 结 ,使 读者 对 密码 学 的 全 貌 有 一 个 完整 的 印 
象 。 这 些 传统 的 密码 技术 在 现在 的 密码 分 析 技 术 面前 ,可 以 被 轻易 地 破解 ,已 经 没有 太 多 
的 实际 意义 。 但 传统 加 密 技 术 使 用 的 代 换 和 置换 技术 的 基本 思想 在 现代 密码 算法 设计 中 
还 有 广泛 的 应 用 ,了 解 代 换 和 置换 技术 的 基本 思想 对 理解 现代 密码 学 产生 的 背景 为 今后 
研究 和 改进 现代 密码 系统 提供 了 基础 。 


3.3.1 置换 密码 


置换 密码 根据 一 定 的 规则 重新 安排 明文 字母 ,使 之 成 为 密 文 。 常 用 的 置换 密码 有 两 
种 : 一 种 是 列 置换 密码 , 男 一 种 是 周期 置换 密码 。 下 面 给 出 两 个 例子 ,分 别 说 明 它们 的 工 


作 情 况 。 
例 3.1 假设 有 一 个 密 钥 是 type 的 列 置换 密码 ,把 明文 we 表 3.3 置换 密码 
are all together 写成 4 列 和 矩阵 ,如 表 3. 3 所 示 。 密 钥 ee 
按照 密 钥 type 所 确定 的 顺序 , 按 列 写 出 该 矩阵 中 的 字母 ， | 
就 得 出 密 文 ， wear 
RL ERALGCGBWETTEAO EH 顺序 eall 
例 3.2 假设 有 一 个 周期 是 4 的 置换 密码 ,其 密 钥 是 ;一 1， 人 


2,3,4 的 一 个 置换 /(i) 二 3,4,2,1。 明 文 同上 例 , 加 密 时 先 将 明 
文 分 组 ,每 组 4 个 字母 ,然后 根据 密 钥 所 规定 的 顺序 变换 如 下 : 
。 明文 : M 一 wear eall toge ther 
。 密 文 : C=AREW LLAE GEOT ERHT 
单纯 地 置换 密码 因为 有 着 与 原始 明文 相同 的 字母 频率 特征 而 易 被 识破 。 如 同 列 变 换 
所 示 ,密码 分 析 可 以 直接 从 将 密 文 排列 成 矩阵 和 人手 ,再 来 处 理 列 的 位 置 。 双 字母 音节 和 三 
字母 分 析 方 法 可 以 派 上 用 场 。 
多 步 置换 密码 相对 来 讲 要 安全 得 多 ,这 种 复杂 的 置换 是 不 容易 重 构 的 。 


3.3.2 代 换 密码 


代 换 法 是 将 明文 中 每 一 个 字符 蔡 换 成 密 文中 的 另 一 个 字符 ,接收 者 对 密 文 进行 逆 替 
换 就 可 以 恢复 出 明文 。 如 果 把 明文 看 做 是 二 进 制 序列 ,那么 代 换 就 是 用 密 文 位 串 来 代 换 
明文 位 串 。 这 里 介绍 两 种 代 换 密码 ,人 恺 撤 密 码 和 单 表 代 换 密码 。 


1. 恺 撤 密 码 


已 知 最 早 的 代 换 密码 是 由 Julius Caesar 发 明 的 恺 撤 (Caesar) 密 码 。 它 非常 简单 ,就 
是 对 字母 表 中 的 每 个 字母 用 它 之 后 的 第 三 个 字母 来 代 换 , 例 如 : 

。 明文 : meet me after the toga party 

。 密 文 : PHHW PH DIWHU WKH WRJD SDUWB 

注意 到 字母 表 是 循环 的 , 即 认为 紧 随 Z 后 的 是 字母 A。 通 过 列 出 所 有 的 可 能 来 定义 
如 下 变换 : 

。 明 文 :a bcdefghijklmnopqrstuvwxyz 

”和文 :DEFGHIJKLMNOPQRSTUYVWXYZABC 

如 果 让 每 个 字母 等 价 于 一 个 数值 : 


a b c d e 江 g h i j k 1 m 
0 1 2 3 4 5 6 7 8 9 10 11 12 
n o p q r s t u v w x y s 
13 14 15 16 17 18 19 20 21 22 23 24 25 


那么 加 密 算法 可 以 这 样 表达 :对 每 个 明文 字母 p. 代 换 成 密 文字 母 C 
C=E(3,p)=(p+3)mod 26 
移 位 可 以 是 任意 整数 &, 这 样 就 得 到 了 一 般 的 Caesar 算法 : 
C=E(k,p)=(p+k)mod 26 
这 里 的 取 值 范围 为 1~~25。 解 密 算法 是 : 
p=D(k,C)=(C—k)mod 26 
如 果 已 知 某 给 定 的 密 文 是 恺 撤 密 码 ,那么 穷 举 攻击 是 很 容易 实现 的 : 只 要 简单 地 测 
试 所 有 的 25 种 可 能 的 密 钥 。 
恺 撒 密 码 的 三 个 重要 特征 可 以 采用 穷 举 攻击 分 析 方 法 : 
。 已 知 加 密 算 法 和 解密 算法 。 
。 需 测试 的 密 钥 只 有 25 个 。 
。 明文 所 用 的 语言 是 已 知 的 .上 且 其 意义 易于 识别 。 
在 大 多 数 网 络 情况 下 ,假设 密码 算法 是 已 知 的 。 一 般 来 说 , 密 钥 空间 很 大 的 算法 使 穷 
举 攻击 分 析 方 法 不 太 可 能 成 功 。 例 如 .第 4 章 介绍 的 3DES 算法 , 它 的 密 钥 长 度 是 168 
位 ,其 密 钥 空间 是 2”, 或 者 说 有 大 于 3.7X10” 种 可 能 的 密 钥 。 
上 述 第 三 个 特征 也 是 非常 重要 的 ,如 果 明 文 所 用 的 语言 不 为 所 知 ,那么 明文 输出 就 不 
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可 识别 。 而 且 , 输 入 可 能 按 某 种 方式 经 过 缩写 或 压缩 ,也 就 更 不 可 识别 了 。 例 如 下 面 是 经 
过 WINRAR 压缩 之 后 的 部 分 文本 文件 : 
炉 $ 弟 J\2?B.?Q ”~ 蕊 半 4 联 OWA??.4w 人 恰 磋 }rw 堆 ?o 疲 | 黑 众 f 颍 当 板 1?R 遍 = 妈 梨 
柑 I50$ 瀹 2+#2j9W? 鲜 砚 00-+7r 病 半 QO 记 {能 让 虹 ?6) 鱼 琢 ?'d3?? 起 ? 避 姓 咕 插 B 
太 | 看 N 衡 ? 痪 - 谱 ?2 痛 ?d 玉 ?d 胜 坟 s 擅 +r~ 杷 * 刍 表 ?” 痊 !p 圭 !e 读 YA -水 柳 有 
q W?m 伴 H 辽 ? 袍 贸 视 ~ 锯 % 
如 果 这 个 文件 用 一 种 简单 的 代 换 密码 来 加 密 ( 将 字母 集合 扩充 为 不 止 包含 26 个 英文 
字母 ) ,那么 即使 用 穷 举 攻击 进行 密码 分 析 ,恢复 出 来 的 明文 也 是 不 可 识别 的 。 


2. 单 表 代 换 密码 


恺 撒 密 码 仅 有 25 种 可 能 的 密 钥 , 远 远 不 够 安全 。 通 过 允许 任意 代 换 , 密 钥 空 间 将 会 
急剧 增 大 。 回 忆 恺 撤 密 码 的 对 应 : 如 果 密 文 行 是 26 个 字母 的 任意 置换 ,那么 就 有 26! 或 
大 于 4X10” 种 可 能 的 密 钥 ,这 比 DES 的 密 钥 空间 要 大 10 个 数量 级 , 赁 直觉 这 样 的 密 钥 
空间 应 该 可 以 抵挡 穷 举 攻击 了 。 这 种 方法 称 为 单 表 代 换 密码 ,这 是 因为 每 条 消息 用 一 个 
字母 表 (给 出 从 明文 字母 到 密 文字 母 的 映射 ) 加 密 。 攻 击 者 尝试 所 有 的 4X10“ 种 可 能 密 
钥 的 工作 量 显 然 太 大 了 ,有 没有 更 好 的 攻击 方法 呢 ? 

答案 是 更 好 的 攻击 方法 仍然 存在 。 如 果 密 码 分 析 者 知道 明文 (例如 ,未 经 压缩 的 英文 
文本 ) 的 属性 ,他 就 可 以 利用 语言 的 一 些 规律 进行 攻击 。 为 了 说 明 分 析 过 程 , 这 里 给 出 一 
段 文 字 。 需 要 解密 的 密 文 是 : 

PBFPVYFBQXZTYFPBFEQJHDXXQVAPTPQJKTOYQWIPBVWLXTOXBTFX 

QWAXBVCXQWAXFQJVWLEQNTOZQGGQLFXQWAKVWLXQWAEBIPBFXF 

QVXGTVJVWLBTPQWAEBFPBFHCVLXBQUFEVWLXGDPEQVPQGVPPBFTI 

XPFHXZHVFAGFOTHFEFBQUFTDHZBQPOTHXTYFTODXQHFTDPTOGHFQ 

PBQWAQJJTODXQHFOQPWTBDHHIXQVAPBFZQHCFWPFHPBFIPBQWKF 

ABVYYDZBOTHPBQPQJTQOTOGHFQAPBFEQJHDXXQVAVXEBQPEFZBVF 

OJIWFFACFCCFHQWAUVWFLQHGFXVAFXQHFUFHILTTAVWAFFAWTE 

VOITDHFHFQAITIXPFHXAFQHEFZQWGFLVWPTOFFA 

首先 把 字母 使 用 的 相对 频率 统计 出 来 ,与 英文 字母 的 使 用 频率 分 布 进行 比较 ,参见 
图 3.2 和 图 3. 3。 

0.14 


0.12 国 


0.10 量 


ABCDEFGHTIJIJKLMNOPQRSTUVWXYZ 
图 3.2 常见 的 英文 字母 使 用 频率 


OABCDEFGHIJ KLMNOPQRSTUVWXYLZ 
图 3.3 密 文 中 字母 出 现 的 次 数 


如 果 已 知 消息 足够 长 ,只 用 这 种 方法 就 已 经 足够 了 ,如 果 这 段 消息 相对 较 短 ,就 不 能 
得 到 准确 的 字母 匹配 。 将 这 种 统计 规律 与 图 3. 2 比较 ,可 以 得 出 结论 : 密 文 字母 中 的 
FF 或 Q 可 能 相当 于 明文 中 的 e, 但 是 并 不 能 确定 下 对 应 e 还 是 Q 对 应 e。 密 文中 的 P、W、 
B、H、P、T 和 X 相对 频率 都 比较 高 ,可 能 与 明文 中 的 字母 集 {t,a,h,i,n,o,r,s} 中 的 某 一 
个 相对 应 。 相 对 频率 较 低 的 字母 (M,R,S,K,U,Y) 可 能 对 应 着 明文 字母 集 {b,j,k,q,v， 
x,z) 中 的 某 个 元 素 。 

据 此 我 们 可 以 从 以 下 几 种 方法 入 手 。 可 以 尝试 着 做 一 些 代 换 , 填 和 人 明文 ,看 看 是 否 像 
一 个 消息 的 轮廓 ,更 系统 一 点 的 方法 是 寻找 其 他 的 规律 。 例 如 ,明文 中 有 某 些 词 可 能 是 已 
知 的 ,或 者 寻找 密 文字 母 中 的 重复 序列 ,推导 它们 的 等 价 明文 。 

统计 双 字 母 组 合 的 频率 是 一 个 很 有 效 的 工具 。 由 此 可 以 得 到 一 个 类 似 于 图 3. 2 的 双 
字母 组 合 的 相对 频率 图 。 最 常用 的 一 个 字母 组 合 是 th。 而 在 密 文中 ,用 得 最 多 的 双 字 母 
组 合 是 PB, 它 出 现 了 多 次 。 所 以 可 以 估计 了 对 应 明文 t' 而 B 对 应 明文 h。 根 据 先 前 的 假 
设 , 可 以 认为 F 对 应 e。 现 在 我 们 意识 到 密 文中 的 PBF 很 可 能 就 是 the, 这 是 英语 中 最 常 
用 的 三 字母 组 合 ,这 表明 我 们 的 思路 是 正确 的 。 


3.3.3 三 次 二 密 


一 次 一 密 建 议 使 用 与 消息 一 样 长 且 无 重复 的 随机 密 钥 来 加 密 消息 ,另外 , 密 钥 只 对 一 
个 消息 进行 加 解密 ,之 后 丢弃 不 用 。 每 一 条 新 消息 都 需要 一 个 与 其 等 长 的 新 密 钥 。 一 次 
一 密 是 不 可 攻破 的 , 它 产生 的 随机 输出 与 明文 没有 任何 统计 关系 。 因 为 密 文 不 包含 明文 
的 任何 信息 ,所 以 无 法 攻破 。 

下 面 的 例子 能 够 说 明 我 们 的 观点 。 假 设 我 们 使 用 的 是 27 个 字符 (第 27 个 字符 是 空 
格 ) 的 密码 ,但 是 这 里 使 用 的 一 次 性 密 钥 和 消息 一 样 长 ,请 看 下 面 的 密 文 : 

ANKYODKYUREPFJBYOJTDSPLREYIUNOFDOIUERFPLUYTS 

现在 我 们 用 两 种 不 同 的 密 钥 解密 。 
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《网 络 安全 原理 与 实践 》 


(1) 密 钥 1 的 解密 结果 : 


密 文 ANKYODKYUREPFJBYOJDSPLREYIUNOFDOIUERFPLUYTS 
密 钥 1 pxlmvmsydofuyrvzwc tnlebnecvgdupahfzzlmnyih 
明文 mr mustard with the candlestick in the hall 


(2) 密 钥 2 的 解密 结果 : 


密 文 ANKYODKYUREPFJBYOJDSPLREYIUNOFDOIUERFPLUYTS 
密 钥 2 mfugpmiydgaxgoufhklllmhsqrdqogtewbqfgyovuhwt 
明文 miss scarlet with the knife in the library 


假设 密码 分 析 者 已 设法 找到 了 这 两 个 密 钥 ,于 是 就 产生 了 两 个 似是而非 的 明文 。 分 
析 者 如 何 确定 正确 的 解密 呢 ( 即 正确 的 密 钥 )? 如 果 密 钥 是 在 真正 随机 的 方式 下 产生 的 ， 
那么 分 析 者 就 不 能 说 密 钥 更 有 可 能 是 哪 一 种 。 因 此 没有 办 法 确定 正确 的 密 钥 , 也 就 是 说 ， 
没有 办 法 确定 正确 的 明文 。 

事实 上 ,给 出 任何 长 度 与 密 文 一 样 长 的 明文 ,都 存在 着 一 个 密 钥 产生 这 个 明文 。 因 此 
用 穷 举 法 搜索 所 有 可 能 的 密 钥 ,就 会 得 到 大 量 可 读 、 清 楚 的 明文 ,但 是 没有 办 法 确定 哪 一 
个 才 是 真正 所 需 的 ,因而 这 种 密码 是 不 可 破 的 。 

一 次 一 密 的 安全 性 完全 取决 于 密 钥 的 随机 性 。 如 果 构 成 密 钥 的 字符 流 是 真正 随机 
的 ,那么 构成 密 文 的 字符 流 也 是 真正 随机 的 。 因 此 分 析 者 没有 任何 攻击 密 文 的 模式 和 规 
则 可 用 。 

理论 上 ,对 一 次 一 密 已 经 讲 得 很 清楚 了 。 但 是 在 实际 中 ,一 次 一 密 提 供 完 全 的 安全 性 
存在 两 个 基本 难点 : 

(1) 产生 大 规模 随机 密 钥 有 实际 困难 。 任 何 经 常 使 用 的 系统 都 需要 建立 在 某 个 规则 
基础 上 的 数 百 万 个 随机 字符 ,提供 这 样 规模 的 真正 随机 字符 是 相当 艰巨 的 任务 。 

(2) 更 令 人 担忧 的 是 密 钥 的 分 配 和 保护 。 对 每 一 条 发 送 的 消息 ,需要 提供 给 发 送 方 
和 接收 方 等 长 度 的 密 钥 。 因 此 ,存在 庞大 的 密 钥 分 配 问题 。 因 为 上 述 这 些 困 难 , 一 次 一 密 
实际 很 少 使 用 ,主要 用 于 安全 性 要 求 很 高 的 低 带 宽 信道 。 


3.3.4 转 轮机 


多 步 置换 得 到 的 算法 对 密码 分 析 有 很 大 的 难度 ,这 对 代 换 密码 也 适用 。20 世纪 20 
年 代 , 人 们 就 发 明 机 械 加 密 设 备用 来 自动 处 理 加 密 , 大 多 数 是 基于 转 轮 的 概念 ,机 械 转 轮 
用 线 连 起 来 完成 通常 的 密码 代 换 。 

轮转 机 有 一 个 键盘 和 一 系列 转 轮 ( 见 图 3. 4) ,每 个 转 轮 是 字母 的 任意 组 合 ,有 26 个 


位 置 ,并 且 完 成 一 种 简单 代 换 。 例 如 ,一 个 转 轮 可 能 被 用 线 连 起 来 以 完成 用 开 代 换 A， 
刺 代 换 D, 用 工 代 换 了 等 ,而 且 转 轮 的 输出 栓 连 接 到 相 邻 的 输入 栓 。 

例如 ,有 一 个 密码 机 ,有 4 个 转 轮 ,第 一 个 转 轮 可 能 用 G 代 换 B, 第 二 个 转 轮 可 能 用 N 
代 换 G, 第 三 个 转 轮 可 能 用 S 代 换 N, 第 四 个 转 轮 可 能 用 C 代 换 S,C 应 该 是 输出 密 文 。 
当 转 轮 移动 后 ,下 一 次 代 换 将 不 同 。 为 使 机 器 更 加 安全 ,可 以 把 几 种 转 轮 和 移动 的 齿轮 结 
合 起 来 。 因 为 所 有 的 转 轮 以 不 同 的 速度 移动 ,” 个 转 轮 的 机 器 周期 为 26n。 为 进一步 阻止 
密码 分 析 , 有 些 转 轮机 在 每 个 转 轮 上 还 有 不 同 的 位 置 号 。 


Rotors、 4 
Lampboard 


图 3.4 转 轮机 和 其 中 的 机 械 转 轮 


今天 转 轮 机 的 意义 在 于 它 曾 经 给 最 为 广泛 使 用 的 密码 一 一 数据 加 密 标准 DES 指明 
了 方向 。 第 4 章 对 DES 进行 讨论 。 


3.3.5 电码 本 


近年 热 播 的 电视 剧 ( 潜 伏 》 中 会 出 现 这 样 的 镜头 , 当 男 主角 余 则 成 收 到 密 电 后 ,会 拿 出 
-本 书 对 密 电 进行 解密 ,这 本 书 就 是 加 密 解 密使 用 的 电码 本 ,如 果 这 本 书 被 敌人 知道 了 ， 
密 电 中 的 机 密 则 会 泄露 。 从 字面 中 意义 而 言 ,传统 的 电码 本 密码 就 是 像 字 典 一 样 的 书 , 包 
含 单词 和 其 相应 的 码 字 。 表 3. 4 给 出 了 德国 在 一 战 期 间 使 用 的 一 部 著名 电码 本 密码 的 
摘录 。 
例如 ,要 加 密 德 文 单词 Februar, 整 个 单词 被 替换 为 5 表 3.4 德国 电码 本 摘录 
位 * 码 字 ”13605。 表 3.4 的 电码 本 用 于 加 密 。 相 应 的 还 有 明文 密 文 
一 个 将 5 位 码 字 按照 数字 大 小 顺序 排列 的 电码 本 ,用 于 解 


密 。 电 码 木 密码 属于 代替 密码 ,但 是 与 简单 代 苦 密码 有 很 人 ee 
大 的 区 别 , 因 为 这 里 是 对 整个 单词 甚至 短语 进行 代 痊 。 Pe je 

表 3. 4 展示 的 电码 本 被 用 于 著名 的 Zimmermann 电 folgender 13918 
报 的 加 密 中 ,在 1917 年 ,德国 外 交 部 长 Arthur Frieden 17142 


Zimmermann 给 身 在 墨西哥 城 的 德国 大 使 发 送 一 个 加 密 。 “eaesehloss | 17149 
的 电报 ( 见 图 3. 5) ,这 份 密 电文 被 英国 截获 .当时 英国 
和 法 国正 在 同 德国 及 其 同盟 国 作战 ,而 美国 处 于 中 立 。 


俄国 破译 出 了 德国 电码 本 的 部 分 内 容 , 并 将 一 部 分 电码 本 送 给 英国 。 经 过 艰苦 的 分 
析 ,英国 恢复 出 了 足够 破译 Zimmermann 电报 的 电码 本 。 电 报 陈述 了 德国 政府 计划 开展 
“无 限制 潜艇 战 ”, 并 且 预 测 到 这 个 计划 将 导致 美国 卷 和 战争。 因此 Zimmermann 决定 德 
国 应 该 试图 拉拢 墨西哥 加 入 同盟 并 与 美国 作战 ,如 图 3.6 所 示 。 德 国 对 于 墨西哥 承诺 “ 夺 
回 其 在 德 克 萨 斯 州 . 新 墨西哥 州 和 亚利桑那 州 曾经 失去 的 领土 ">。 当 解密 后 的 
Zimmermaan 电报 被 公布 给 美国 后 ,美国 公众 开始 敌对 德国 ;随后 在 Lusitania 航线 事件 
后 ,美国 对 德国 正式 宣战 。 
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3.5 德国 Zimmermann 密 电 


最 初 ,英国 曾 犹 殉 是 否 公 布 Zimmermann 电报 ,因为 英国 害怕 德国 发 现 他 们 的 密码 
被 破译 以 后 就 停止 使 用 该 密码 。 然 而 ,通过 在 Zimmermann 电报 发 送 的 同时 期 对 其 他 电 
报 进行 过 滤 分 析 ,英国 破译 者 发 现 还 有 Zimmermann 电报 的 未 加 密 版 本 被 发 送 。 英 国 随 
后 公布 了 同 未 加 密 版 本 电报 内 容 相 似 的 Zimmermann 电报 。 于 是 德国 就 以 为 他 们 的 电 
码 本 密码 没有 问题 ,并 在 整个 一 战 中 继续 使 用 其 加 密 敏 感 信息 。 

电码 本 和 现代 分 组 密码 有 着 一 定 的 相关 性 ,现代 分 组 密码 对 明文 使 用 复杂 的 算法 产 
生 密 文 (反之 亦 然 ) ,但 是 从 宏观 上 来 看 分 组 密码 都 可 以 视 为 一 个 电码 本 密码 ,这 里 每 个 密 
钥 都 确定 一 部 不 同 的 电码 本 。 
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Fnow 2nd from London 5747. 


“We intend to begin on the firet of February 
unreetFicted submartne warfare. We ehall endosvos 
1n epite of thie to keep the United States of 
americu neutral. In the event of thig not eucceesd— 
ing, We make Mexico a proposal of alliance on the 
following basie: make War together, make peace 
together, generous finanoial support and am wder— 
atanding on our part that Merfco 19 to reconquer 
the lost territory in Texas, New Mexico, end 
arizona. The gettlement fn detatl ie left to you. 
You will inform the Preeident of the above moet. 
gecretly as soon aa the outbreak of War with the 
United States of America ie certain and add the 
Begun that he should, on hie own initiative, 
Pmt Japan to immediate sdherence and st the eame 
time mediate between Japan and oureelves. Please 
call the Preaident'e attention to the Tact that 
the ruthlesa employment of our submarinee now 
offere the progpect of compelling Bngland in 8 
few montha to make peace.” Signed, ZI Ea AK. 


图 3.6 用 电码 本 解密 的 Zimmermann 电报 


习题 


1. 假设 已 知 使 用 恺 撤 密 码 , 试 从 下 面 的 密 文 恢 复出 明文 : 
VSRQJHEREVTXDUHSDQWU 
2. 如 果 拥 有 一 台 每 秒 可 以 尝试 2” 次 密 钥 的 计算 机 ,那么 对 于 密 钥 空间 为 2 进行 密 
钥 的 穷 举 搜索 大 概 需 要 多 长 时 间 ( 以 年 为 单位 )? 
3. 请 简 述 密码 学 在 计算 机 网 络 安全 的 重要 作用 。 
4. 密码 管理 中 使 用 层次 化 的 密 钥 结构 的 作用 是 什么 ? 
5. 设计 一 个 电码 本 密码 的 计算 机 版 本 。 该 密码 应 包含 许多 可 能 的 电码 本 ,使 用 密 钥 
以 确定 使 用 哪个 电码 本 对 特定 消息 进行 加 密 或 解密 。 
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第 4 章 对 称 加 密 


密码 学 发 展 到 现在 ,经 历 了 很 多 阶段 ,有 很 多 种 算法 和 应 用 协议 ,我 们 可 以 将 它们 分 
为 两 类 : 对 称 密码 系统 (或 单 钥 密码 系统 ) 和 公 钥 密码 系统 (或 非 对 称 密码 系统 、 双 钥 密 码 
系统 ) 。 

对 称 加 密 也 称 为 常规 加 密 、 私 钥 或 单 钥 加 密 , 它 的 特点 是 加 密 和 解密 时 所 使 用 的 密 钥 
是 相同 的 或 者 类 似 的 , 即 由 加 密 密 钥 可 以 很 容易 得 到 解密 密 钥 ,反之 亦 然 。 正 因为 如 此 ， 
我 们 常 称 其 为 对 称 密码 系统 或 单 钥 密码 系统 。 在 一 个 密码 系统 中 ,我 们 不 能 假定 加 密 算 
法 和 解密 算法 是 保密 的 ,因此 密 钥 必须 保密 。 然 而 发 送 消息 的 通道 往往 是 不 安全 的 ,所 以 
在 对 称 密码 系统 中 ,通常 要 求 使 用 不 同 于 发 送 消息 的 另外 一 个 安全 通道 来 发 送 密 钥 。 

与 之 相反 , 公 钥 密码 系统 却 具有 不 同 的 特点 和 优点 : 加 密 密 钥 和 解密 密 钥 在 算法 上 
是 不 同 的 ,知道 其 中 一 个 密 钥 ,也 不 能 有 效 地 推导 出 另 一 个 密 钥 , 所 以 公 钥 密码 系统 常常 
称 为 非 对 称 密码 系统 或 双 钥 密码 系统 。 因 此 可 以 公开 加 密 密 钥 ,不 需要 额外 的 安全 信道 
来 分 发 密 钥 ,这 样 无 损 于 整个 系统 的 保密 性 ,用 户 只 需要 保存 好 解密 密 钥 ,这 也 是 公 钥 密 
码 系统 名 称 的 来 源 。 

在 20 世纪 70 年 代 末期 公 钥 加 密 开发 之 前 ,对 称 加 密 是 唯一 被 使 用 的 加 密 类 型 。 现 
在 , 它 仍然 属于 使 用 最 广泛 的 两 种 加 密 类 型 之 一 ,有 些 读者 误 认 为 对 称 密码 已 经 被 公 钥 密 
码 取代 ,这 是 一 种 错误 的 认识 。 对 称 密码 在 加 解密 的 速度 上 比 公 钥 密码 要 快 得 多 ,显然 对 
大 量 数据 进行 加 解密 时 ,对 称 密 码 是 首选 。 

对 称 密 码 通常 通过 流 密码 和 分 组 密码 来 实现 ,本 章 首先 介绍 对 称 流 密码 ,并 描述 广泛 
使 用 的 流 密 码 RC4。 然 后 会 探讨 三 种 重要 的 分 组 加 密 算法 : DES、3DES 以 及 AES。 接 
着 讨论 随机 和 伪 随 机 数 的 生成 。 最 后 ,介绍 分 组 密码 的 工作 模式 这 一 重要 内 容 。 


4.1 流 密码 


流 密码 连续 处 理 输入 元 素 ,在 运行 过 程 中 ,一 次 产生 一 个 输出 元 素 。 在 流 密码 中 ,将 
明文 消息 按 一 定 长 度 分 组 (长 度 较 小 ,如 一 个 字 节 ) ,然后 对 各 组 用 相关 但 不 同 的 密 钥 进行 
加 密 ,产生 相应 的 密 文 , 相 同 的 明文 分 组 会 因 在 明文 序列 中 的 位 置 不 同 而 对 应 于 不 同 的 密 
文 分 组 。 在 分 组 密码 中 ,明文 消息 也 是 按 一 定 长 度 分 组 (长 度 较 大 ) ,每 组 都 使 用 完全 相同 
的 密 钥 进 行 加 密 ,产生 相应 的 密 文 ,相同 的 明文 分 组 不 管 处 在 明文 序列 的 什么 位 置 ,总 是 
对 应 相同 的 密 文 分 组 。 相 对 分 组 密码 而 言 , 流 密码 主要 有 以 下 优点 : 第 一 ,在 硬件 实施 
上 , 流 密 码 的 速度 一 般 要 比分 组 密码 快 ,而 且 不 需要 有 很 复杂 的 硬件 电路 ;第 二 ,在 某 些 情 
况 下 (例如 ,对 某 些 电 信 上 的 应 用 ,如 GSM 移动 通信 中 使 用 ), 当 缓冲 不 足 或 必须 对 收 到 
的 字符 进行 逐一 处 理 时 , 流 密 码 就 显得 更 加 必要 和 恰当 ;第 三 , 流 密 码 有 较 理想 的 数学 分 
析 工 具 , 如 频谱 理论 和 技术 、 代 数 方法 等 ;第 四 , 流 密码 能 较 好 地 隐藏 明文 的 统计 特征 。 


尽管 分 组 密码 使 用 得 更 为 普遍 ,但 是 对 于 一 些 特定 的 应 用 ,使 用 流 密 码 更 合适 ,例如 
在 GSM 移动 通信 中 用 于 保护 数据 机 密 性 的 A5/1 算法 。 本 节 首 先 概述 流 密码 结构 ,然后 
研究 流行 的 对 称 流 密码 RC4。 


4.1.1 流 密码 结构 


目前 关于 流 密码 的 理论 和 技术 已 取得 长 足 的 发 展 。 同 时 密码 学 家 也 提出 了 大 量 的 流 
密码 算法 ,有 些 算法 已 被 广泛 地 应 用 于 移动 通信 、 军 事 外 交 等 领域 。 

流 密码 的 基本 原理 是 在 流 密 码 中 ,明文 按 一 定 长 度 分 组 后 被 表示 成 一 个 序列 ,并 称 为 
明文 流 , 序 列 中 的 一 项 称 为 一 个 明文 字 。 加 密 时 , 先 由 主 密 钥 产生 一 个 密 钥 流 序列 ,该 序 
列 的 每 一 项 和 明文 字 具 有 相同 的 比特 长 度 , 称 为 一 个 密 钥 字 。 然 后 依次 把 明文 流 和 密 钥 
流 中 的 对 应 项 输入 加 密 函 数 , 产 生 相 应 的 密 文 字 , 由 密 文字 构成 密 文 流 输出 , 即 

。 设 明 文 流 为 : M 一 ma mz mi*… 

。 密 钥 流 为 : K=k& 妇 epA 

。 通常 密 钥 流 由 流 密码 的 函数 生成 : StreamCipher(K) 一 ki ai 

。 加 密 算法 为 : C 一 cu cz ci 和 一 Eu Cm) Ew (ms) Ey (Cm) 

。 解密 算法 为 : M==m m2*…mi*… 二 Da (ci) Di (cs)*…Dis(ci) 

假设 发 送 者 和 接收 者 都 拥有 相同 的 流 密 码 算法 ,并 且 都 知道 密 钥 KK, 那 么 这 个 系统 
就 构成 了 一 个 现实 的 “一 次 一 密 ”, 尽 管 不 像 真 正 的 一 次 一 密 那样 具有 可 证 明 的 安 
全 性 。 

流 密 码 与 分 组 密码 在 对 明文 的 加 密 方式 上 是 不 同 的 。 分 组 密码 对 明文 进行 处 理 时 ， 
明文 分 组 相对 较 大 ,所 有 的 明文 分 组 都 是 用 完全 相同 的 函数 和 密 钥 来 加 密 的 。 而 流 密 码 
对 明文 消息 进行 处 理 时 ,采用 较 小 的 分 组 长 度 , 对 明文 流 中 的 每 个 字 用 相同 的 函数 和 不 同 
的 密 钥 字 来 加 密 。 

图 4.1 展示 了 典型 的 流 密码 结构 。 在 这 个 结构 里 , 密 钥 输入 到 一 个 伪 随 机 字 节 生成 
器 ,产生 一 个 表面 随机 的 8 比特 数 的 流 。 伪 随机 流 是 不 知道 输入 密 钥 就 不 可 预测 的 ,有 表 
面 上 随机 的 性 质 。 这 个 生成 器 的 输出 称 为 密 钥 流 ,使 用 位 异 或 操作 与 明文 流 结合 ,一 次 一 
个 字 节 。 例 如 ,如 果 生 成 器 产生 的 下 一 字 节 是 01101100, 明 文 的 下 一 个 字 节 是 11001100， 
那么 得 到 的 密 文字 节 是 : 

11001100 ”明文 
申 01101100 ” 密 钥 流 
10100000 密 文 
解密 需要 使 用 之 前 加 密使 用 过 的 同一 密 钥 流 : 
10100000 密 文 
由 01101100 密 钥 流 


11001100 明文 


对 称 加 密 


《网 络 安全 原理 与 实践 》 


密 钥 密 钥 
天 天 


伪 随 机 字 节 产生 器 伪 随 机 字 节 产生 器 
( 密 铀 流产 生 器 ( 密 钥 流产 生 器 ) 
密 钥 流 K" 密 钥 流 K' 
明文 字 节 流 M 一 一 一 一 窗 文字 节 流 C 一 密 文字 节 流 C 一 一 明文 字 节 流 M 一 ~ 
加 密 解密 
图 4.1 流 密码 图 
设计 流 密码 时 主要 考虑 的 因素 有 : 


(1) 加 密 序 列 应 该 有 一 个 长 周期 。 伪 随机 数 生成 器 使 用 一 个 函数 产生 一 个 实际 上 不 
断 重复 的 确定 比特 流 。 这 个 重复 的 周期 越 长 ,密码 破解 就 越 困 难 。 

(2) 密 钥 流 应 该 尽 可 能 地 接近 真 随机 数 流 的 性 质 。 例 如 ,1 和 0 的 数目 应 该 近似 相 
等 。 如 果 将 密 钥 流 视 作 字 节 流 ,那么 每 个 字 节 的 256 种 可 能 值 出 现 的 频率 应 该 近似 相等 。 
密 钥 流 表现 得 越 随机 , 密 文 就 越 随机 化 ,密码 破译 就 越 困 难 。 

(3) 伪 随 机 数 生成 器 的 输出 受 输 入 密 钥 值 控制 。 为 了 抵抗 穷 举 攻击 ,这 个 密 钥 必 须 
非常 长 。 分 组 密码 中 的 考虑 因素 在 这 里 同样 适用 。 因 此 ,就 当前 的 科技 水 平 而 言 , 需 要 至 
少 128 比特 长 度 的 密 钥 。 

如 果 伪 随机 数 生成 器 设计 合理 ,对 同样 的 密 钥 长 度 , 流 密 码 和 分 组 密码 一 样 安 全 。 流 
密码 的 主要 优点 是 流 密 码 与 分 组 密码 相 比 总 是 更 快 ,而 且 使 用 更 少 的 代码 ,如 RC4 算法 
能 用 仅仅 几 行 代码 实现 。 表 4. 1 将 RC4 与 三 个 知名 的 对 称 分 组 密码 的 执行 时 间 进 行 了 
比较 。 分 组 密码 的 优点 是 可 以 重复 使 用 密 钥 。 如 果 两 个 明文 使 用 同一 密 钥 进行 流 密 码 加 
密 ,密码 破译 常常 会 非常 容易 。 如 果 将 这 两 个 密 文 流 进行 异 或 ,结果 就 是 原始 明文 的 异 或 
值 。 如 果 明 文 是 文本 字符 串 、 信 用 卡号 或 者 其 他 已 知 其 性 质 的 字 节 流 , 密 码 破 解 可 能 会 


成 功 。 

表 4.1 对 称 密码 速率 比较 使 用 CPU: 奔腾 工 
密码 密 钥 长 度 速率 (Mbps) 密码 密 钥 长 度 速率 (Mbps) 
DES 56 9 RC2 可 变 0.9 
3DES 168 3 RC4 可 变 45 


对 于 需要 加 密 /解密 数据 流 的 应 用 ,例如 在 数据 通信 信道 或 者 浏览 器 /网 络 链 路 上 , 流 
密码 也 许 是 更 好 的 选择 。 对 于 处 理 数 据 分 组 的 应 用 ,如 文件 传递 .电子 邮件 和 数据 库 , 分 
组 密码 可 能 更 合适 。 但 是 ,这 两 种 密码 都 可 以 在 几乎 所 有 的 应 用 中 使 用 。 


4.1.2 RC4 算法 


RC4 是 RSA 三 人 组 中 的 头号 人 物 Ron Rivest 在 1987 年 为 RSA Security 公司 设计 
的 流 密码 。 它 是 密 钥 大 小 可 变 的 流 密码 ,是 由 于 其 核心 部 分 的 状态 向 量 S 长 度 可 为 1 一 
256 字 节 ,但 一 般 为 256 字 节 。 该 算法 的 速度 可 以 达到 DES 加 密 的 10 倍 左右 , 且 具 有 很 
高 级 别 的 非 线 性 。RC4 原本 被 RSA Security 公司 当 作 商 业 秘密 ,但 是 在 1994 年 9 月 ， 
RC4 算法 通过 Cypherpunks 匿名 邮件 发 送 列表 匿名 地 公布 在 互联 网 上 ,也 就 不 再 有 什么 
商业 机 密 。RC4 也 称 作 ARC4(Alleged RC4 一 一 所 谓 的 RC4) ,因为 RSA 从 来 就 没有 正 
式 发 布 过 这 个 算法 。SSL/TLS(Secure Sockets Layer/Transport Layer Security ,安全套 
接 字 层 /传输 层 安全 ) 标 准 中 使 用 了 RC4, 该 协议 可 以 为 网 络 浏 览 器 和 服务 器 之 间 提 供 安 
全 的 通信 。RC4 也 被 用 于 属于 IEEE 802. 11 无 线 局 域 网 标准 一 部 分 的 WEP (Wired 
Equivalent Privacy, 有 线 等 效 隐私 ) 协 议 及 更 新 的 WPA(WiFi Protected Access, WiFi 保 
护 访问 ) 协 议 。 

RC4 算法 非常 简单 ,从 本 质 上 讲 , 它 就 是 一 个 256 字 节 的 置换 的 查 表 , 在 产生 密 钥 流 
的 每 一 个 字 节 的 时 候 , 所 查 的 表 就 进行 一 次 修改 。 整 个 RC4 都 是 基于 字 节 的 。 算 法 的 第 
一 个 阶段 是 对 于 查 表 使 用 的 密 钥 进行 初始 化 ,用 一 个 可 变 长 度 为 1 一 256 字 节 (8 一 
2048 比特 ) 的 密 钥 来 初始 化 256 字 节 的 状态 向 量 S, 其 元 素 为 SL0],S[1],…,S[255]。 任 
何 时 候 ,S 都 包含 所 有 0 一 255 的 8 比特 数 的 排列 组 合 。 加 密 和 解密 时 ,一 个 字 节 k 由 
S 产生 ,通过 系统 的 方式 从 其 255 个 元 素 中 选取 一 个 。 每 次 k 值 产生 之 后 ,要 再 次 排列 5S 
的 元 素 。 

初始 化 S。 开 始 时 ,S 的 元 素 设 为 等 于 0 一 255 的 升序 值 ; 即 SL0]=0,S[1]=1,…， 
SL255] 二 255。 同 时 创建 一 个 临时 向 量 T。 如 果 密 钥 K 的 长 度 为 256 比特 ,就 把 KK 直接 
赋 给 工 , 和 否则 ,对 于 keylen 字 节 长 度 的 密 钥 ,从 天 复制 工 的 前 keylen 个 元 素 , 然 后 一 直 重 
复 K 直到 填 满 T。 可 以 把 这 些 预备 操 作 概 括 如 下 : 

/* 初始 化 * / 

for i=0 to 255 do 

{S[i]=i; 

T[i]=K[i mod keylen];} 

接 下 来 我 们 使 用 了 来 产生 S 的 初始 排列 。 它 从 SL0J 开 始 一 直 处 理 到 S[255], 同 时 
对 每 个 SLi] ,根据 T[ 让 指定 的 方案 将 SL 与 $S 中 的 另 一 个 字 节 交 换 ， 


/* s 的 初始 排列 * / 

3=0; 

for i=0 to 255 do 

{j= (j+S[i]+[i]) mod 256; 
swap (S[i],S[j]);} 


因为 对 $ 的 唯一 操作 是 交换 ,其 唯一 的 作用 是 排列 组 合 。S 仍然 包含 0 一 255 的 所 
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有 数 。 

流产 生 。RC4 的 一 个 特点 是 , 密 钥 可 以 是 0 一 256 字 节 中 的 任意 长 度 , 密 钥 只 在 初始 
化 置换 $ 中 使 用 ,一 旦 $ 向 量 被 初始 化 ,就 不 再 使 用 密 钥 。 流 产生 过 程 包括 迭代 S[ 站 的 
所 有 元 素 ,并 对 每 个 S[ 让 根据 S 的 当前 结构 指定 的 方案 将 S [与 $ 中 的 另 一 个 字 节 交 
换 。 到 达 S[255] 之 后 ,重新 从 SLO] 开 始 : 


/* 流产 生 * / 

i, j=0; 

while (true) 

{i= (i+1) mod 256; 

j= (j+S[i]) mod 256; 
swap (s[i],s[j]); 

t= (s[i]+s[j]) mod 256; 
k=s[t];} 

加 密 时 ,将 & 值 与 明文 的 下 一 字 节 做 异 或 。 解 密 时 ,将 A 值 与 密 文 的 下 一 字 节 做 
异 或 。 

RC4 算法 可 以 被 视 为 自修 改 的 查 表 , 它 非常 简单 ,并 且 软 件 实现 效率 很 高 。 对 于 
RC4 存在 可 行 的 攻击 方法 ,然而 这 些 方法 中 没有 一 个 对 于 合理 密 钥 长 度 ( 如 128 比特 ) 的 
RC4 是 可 行 的 。 只 要 在 使 用 时 丢弃 生成 的 前 256 字 节 密 钥 流 , 该 攻击 就 不 可 行 了 。 这 可 
以 通过 在 初始 化 过 程 中 额外 添加 256 步 来 完成 。 无 线 局 域 网 的 802. 11 协议 中 有 WEP 
协议 ,此 协议 为 802. 11 无 线 LAN 网 络 提供 机 密 性 保护 ,该 协议 使 用 了 RC4 加 密 算法 。 
WEP 协议 容易 受到 密码 破解 攻击 ,使 用 WEP 加 密 的 无 线 网 络 一 般 在 5 一 30 分 钟 内 就 可 
以 被 破解 密码 ,所 以 在 无 线 网 络 中 不 建议 使 用 WEP 加 密 。WEP 漏洞 的 原因 不 在 于 RC4 
本 身 ,而 在 于 输入 到 RC4 的 密 钥 的 产生 方法 。 其 他 使 用 RC4 的 应 用 并 没有 出 现 类 似 
WEP 的 漏洞 ,例如 在 SSL 协议 中 使 用 RC4 依然 是 安全 的 ,而 且 在 WEP 中 ,也 可 以 通过 
改变 密 钥 产 生 方法 来 修补 。 

RC4 可 以 在 包括 SSL 在 内 的 很 多 应 用 中 使 用 ,然而 该 算法 比较 过 时 ,没有 针对 32 位 处 
理 器 进行 优化 。 近 年 来 对 于 研究 新 的 流 密码 的 工作 似乎 并 不 多 ,RSA 三 人 组 中 的 Shamir 也 
提出 “ 流 密码 的 死期 "已 经 到 了 ,尽管 看 起 来 有 些 偏激 ,但 显然 现在 分 组 密码 才 是 主流 。 


4.2 分 组 密码 


最 常用 的 对 称 加 密 算法 是 分 组 密码 ,分 组 密码 的 设计 目标 是 安全 和 效率 ,也 就 是 说 
既 要 求 分 组 密码 的 安全 性 要 高 ,同时 也 要 求 加 解密 的 速度 要 快 ,由 于 密码 的 高 安全 性 
通常 意味 着 更 多 的 计算 量 , 这 两 个 目标 有 时 是 冲突 的 ,因此 设计 一 个 既 安全 又 高 效 的 
分 组 密码 则 是 非常 困难 的 。 分 组 密码 处 理 固定 大 小 的 明文 分 组 输入 , 且 对 每 个 明文 分 
组 产生 同等 大 小 的 密 文 分 组 。 分 组 密码 的 思想 与 传统 加 密 算法 中 的 电码 本 相似 ,经 过 
分 组 后 ,每 一 个 明文 对 应 着 一 个 密 文 ,类 似 于 电码 本 中 每 一 串 数字 ,对 应 一 个 单词 。 改 
变 密 钥 也 就 意味 着 换 了 一 个 电码 本 ,当然 更 新 密 钥 的 成 本 比 传统 电码 本 的 更 新 成 本 要 
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小 得 多 ,大 家 可 以 想象 在 二 战 中 盟 军 在 全 军 相关 部 门 更 换 一 次 密码 本 的 代价 ,而 更 换 
密 钥 只 需要 传递 短 短 的 二 进 制 串 即 可 完成 更 新 任务 , 原 有 的 设备 和 算法 可 以 继续 使 
用 。 本 节 重 点 介绍 三 个 重要 的 对 称 分 组 密码 : 数据 加 密 标准 (Data Encryption 
Standard, DES) 和 三 重 数据 加 密 标准 (triple DES,3DES) ,以 及 高 级 加 密 标准 (Advanced 
Encryption Standard, AES) 。 


4.2.1 数据 加 密 标准 (DES) 


最 广泛 使 用 的 加 密 方案 是 基于 DES 的 ,DES 由 原 美国 国家 标准 局 (现在 是 美国 国家 
标准 与 技术 研究 所 ,NIST) 于 1977 年 采用 ,以 美国 联邦 信息 处 理 标 准 FIPS PUB46 发 布 。 
这 个 算法 本 身 被 称 为 数据 加 密 算法 (Data Encryption Algorithm, DEA)。 


1. 算法 描述 


DES 采 用 Feistel 结构 ,这 里 先 解释 Feistel 结构 : Feistel 结构 本 身 不 是 密码 ,而 是 一 
种 分 组 密码 的 设计 结构 ,其 基本 思想 表现 为 : 用 简单 的 乘积 来 近似 表达 大 尺寸 的 蔡 代 变 
换 , 交 替 使 用 代 换 和 置换 ,应 用 混 清 (confusion) 和 扩散 Cdiffusion) 的 思想 。Feistel 结构 的 
最 大 优点 是 容易 保证 加 解密 的 相似 性 ,这 一 点 在 实现 中 尤其 重要 。Feistel 结构 因 DES 的 
使 用 而 流行 ,在 很 多 分 组 加 密 中 使 用 ,如 RC5、FEAL、CAST、Blowfish 等 。 

DES 明文 长 度 为 64 比特 ,更 长 的 明文 被 分 为 64 比特 的 分 组 来 处 理 。 密 钥 长 度 为 56 
比特 , 密 钥 其 实 长 度 为 64 位 ,但 是 第 8、16、24、32、40、48、56 和 64 位 为 奇偶 校 验 位 , 故 使 
用 的 实际 有 效 长 度 为 56 位 。 它 采用 16 轮 和 迭代 ,从 原始 56 比特 密 钥 产生 16 组 子 密 钥 ,每 
一 轮 迭 代 使 用 一 个 子 密 钥 。 

DES 的 解密 过 程 在 本 质 上 和 加 密 过 程 相 同 , 使 用 的 是 同一 算法 。 规 则 如 下 : 使 用 密 
文 作为 DES 算法 的 输入 ,但 是 子 密 钥 K; 的 使 用 顺序 与 加 密 时 相反 。 即 第 一 次 使 用 Ku ， 
第 二 次 使 用 Ks , 依 此 类 推 直到 第 16 次 也 就 是 最 后 一 次 使 用 Ki 。 

先 介绍 总 体 结构 框图 ,如 图 4. 2 所 示 , 可 见 其 中 的 典型 结构 是 Feistel 迭代 结构 。 

初始 置换 IP(Initial Permutation) 打 乱 输入 的 比 对 序列 ,初始 置换 的 道 IP7! 是 全 的 
道 置换 (Inverse Initial Permutation) ,有 IP-:[IP(Cx)] 王 x。IP-: 和 了 JIP 是 公开 的 ,与 密 钥 
无 关 , 不 影响 DES 的 安全 性 。 因 为 开始 时 使 用 了 IP, 所 以 最 后 使 用 IP-: 。 


2. 16 轮 和 迭代 


在 每 轮 迭 代 的 过 程 中 ,左边 部 分 等 于 上 一 轮 的 右边 部 分 ,右边 部 分 通过 轮 函数 计算 
得 到 : 


Li = Ri 
Ri= Li @fR,KR),( Si<16,1L;|=|R;|= 32, | K;|= 48) 
但 是 在 最 后 一 轮 即 第 16 轮 迭 代 后 ,为 了 解密 方便 ,没有 交换 左右 两 边 的 数据 , 即 


Ris = Ris 
Lis=Lis @ JR Ki) 
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4.2 ”DES 的 总 体 结构 


图 4.3 给 出 了 16 轮 迭 代 的 流程 图 以 及 每 一 轮 的 加 密 构成 。 


3. 轮 函数 下 
轮 函 数 下 是 DES 设计 的 核心 ,其 结构 如 图 4.4 所 示 。 
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1 
三 RL OR KD) 


图 4.3 轮 迭 代 的 流程 图 以 及 每 一 轮 的 加 密 构 成 
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8x6 位 
人 
i s | | s 5 ||s |[s [ss ls 
4 
| | [| sxat 
32 
32 


RDAD=PCSUECRL © K)) 
图 4.4 轮 函数 的 结构 
(1) 扩展 置换 (expansion permutation)E。 以 32 比特 的 R;_1 为 输入 ,根据 固定 的 扩 


展 置 换 表 , 扩 展 成 48 比特 。 扩 展 方法 如 表 4.2 所 示 , 可 见 有 16 个 比特 出 现 了 两 次 ,分 别 
是 第 1,4,5,8,9,12,13,16,17.20.21,24,25,28,29,32 比特 。 


表 4.2 DES 扩展 置换 EE 


32 | 1 2 | 3 4 5 4 5 6 TeielwlulBlislwIl 寺 | 


16 |17|18|19|20|121|20|121|22|123|24|25|26|27|28|129|130|31|32|1 


输入 数据 的 某 些 位 的 变化 经 过 扩展 置换 后 ,将 影响 到 两 位 扩展 置换 输出 ,扩展 置换 输 
出 将 与 轮 密 钥 逐 位 异 或 ,影响 到 两 个 S 盒 的 代 换 。 从 而 使 密 文 的 每 一 位 更 加 依赖 明文 和 
密 钥 的 每 一 位 ,实现 了 扩散 原则 。 
011001 (2) S 盒 代 换 (S-box Substitution)。 将 异 或 后 的 48 比 
| 特 依次 分 成 8 组 ,每 组 6 比特 ,分 别 送 入 8 个 S 盒 中 进行 代 
换 。 每 个 S 盒 由 一 个 4 行 16 列 的 表 确 定 。 图 4. 5 给 出 一 个 
S 盒 S, 的 示意 图 。 
1 
图 4.5 SS 会 


S 


|| 每 个 S 盒 的 输入 是 6 位 ,不 妨 设 为 刀 ,b,…,0s。S 盒 的 
01 输出 为 4 位 ,通过 查找 x 行 c 列 的 数据 得 到 。 这 里 的 bb 为 
计算 方法 举例 ” 行 r 的 二 进 制 表 示 , 即 ==2X6bi 十 bs ,bs63b405s 为 列 c 的 二 进 

制 表 示 。 例 如 ,Si(011001) 产 生 r=(01)s=1, c==(1100); 
二 12, 输 出 为 9, 即 二 进 制 1001。S 盒 的 设计 见 表 4. 3。 


表 4.3 S 盒 的 设计 


Ss 0 1 2 3 4 5 6 7 8 9 了 外 | 2 8 14 15 
0 14 4 13 1 2 15 | 11 8 3 10 | 6 12 5 9 0 人 
1 0 15 7 4 14 2 13 1 10 6 12 | 11 9 5 3 8 
2 4 1 14 8 13 6 2 11 | 15 |12|9 7 3 10 5 0 
3 15 | 12 8 2 4 9 1 7 5 11 3 14 | 10 | 0 6 13 
S 0 1 2 3 4 5 6 8 9 10%| 1 2 | 3 | id 15 
0 15 1 8 14 6 11 3 4 9 7 2 13 | 12 | 0 5 10 
下 3 13 4 15 2 8 14|12|0 2 10 6 9 11 5 
2 0 14 1 1l11 | 10 | 4 13 1 5 8 12 6 9 3 2 15 
3 13 8 10 1 3 15 4 2 11 6 党 12 | 0 5 14 9 
5 0 1 2 3 4 5 6 7 8 9 QO 15 
0 10 | 0 9 14 6 3 15 5 1 13 | 12 ba 11 4 2 8 
1 13 7 0 9 3 4 6 10 2 8 5 14 | 12 | 11 | 15 1 
2 13 6 4 9 8 15 3 0 11 1 2 12 5 10 | 14 
3 1 10 | 13 | 0 6 9 8 4 15 | 14 3 11 5 2 12 
S, 0 : 2 3 4 5 6 入 8 9 ON 2 可 由 于 15 
0 和 13 | 14 3 0 6 9 10 1 2 8 5 11|12|4 15 


es 


13 8 11 5 6 15 0 3 4 7 2 12 ' 10 | 14 9 
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4 10 | 6 9 0 12 | 11 7 13 | 15 1 3 14 5 2 8 4 
3 3 15 | 0 6 10 1 13 8 9 4 5 11 | 12 7 2 14 
Ss; 0 2 3 4 5 6 7 8 9 10|11|12|13|14 15 
0 2 12 4 1 10 | 11 6 8 5 3 15 | 13 | 0 14 9 
14 | 11 2 12 4 和 13 1 5 0 15 | 10 3 9 8 6 
2 4 2 1 11 | 10 | 13 8 15 9 12 5 6 3 0 14 
3 11 8 12 时 1 14 2 13 6 15 0 9 10 4 5 3 
Ss 0 和 2 3 4 5 6 了 8 9 0 DU 2 | | 15 
0 12 1 10 | 15 9 2 6 8 0 13 3 4 14 7 5 11 


4 11 2 14 | 15 0 8 13 3 12 9 7 5 10 6 


12 3 7 14 | 10 | 15 6 2 0 5 9 2 


6 11 | 13 8 1 4 10 7 9 5 0 15 | 14 2 3 12 


0 1 2 3 4 5 6 8 gr | LO 2 8 “于 15 


13 2 8 4 6 15 | 11 1 10 9 3 14 5 0 12 ? 


elselrlielglwleselrnlieselgplwlesl|ln 
ES 
名 


2 1 14 LA 4 10 8 13 | 15 | 12 9 0 3 5 6 11 


(3) P 盒 置换 ,P 盒 是 一 个 32 位 的 置换 ,如 表 4.4 所 示 。 
表 4.4 了 P 盒 置换 表 
16 和 20 21 29 12 28 17 1 15 23 26 5 18 31 10 


2 8 24 14 | 32 | 27 3 9 19 13 | 30 6 22 11 4 25 


P 盒 用 于 将 S 盒 的 输出 扩散 到 下 一 轮 迭 代 中 。P 盒 设计 有 如 下 特点 : 

@ 每 个 S 盒 的 4 位 输出 影响 下 一 轮 6 个 不 同 的 S 盒 ,但 是 没有 2 位 影响 同一 S 盒 。 

@ 在 第 ; 轮 S 盒 的 4 位 输出 中 ,2 位 将 影响 ;十 1 轮 中 间 位 ,其 余 2 位 将 影响 两 端 位 。 

@ 如 果 一 个 S 盒 的 4 位 输出 影响 另 一 个 S 盒 的 中 间 的 1 位 , 则 后 一 个 的 输出 位 不 会 
影响 前 面 一 个 S 盒 的 中 间 位 。 

经 过 了 盒 置 换 后 ,就 完成 了 DES 加 密 ,DES 解密 的 过 程 与 之 完全 相反 ,这 里 不 再 袭 


65 


述 。 在 DES 加 密 中 ,需要 根据 DES 的 密 钥 [We | 
生成 每 一 轮 的 子 密 钥 ,也 叫 轮 密 钥 。 下 面 介 党 
绍 轮 密 钥 生成 的 具体 过 程 。 二 
4. 轮 密 钥 (subkey ,roundkey) 的 生成 [| 时 
轮 密 钥 生成 的 过 程 如 图 4. 6 所 示 。 9 hpi? 
初始 密 钥 为 64 比特 ,去 掉 8 比特 校 验 。 人 * 不 
位 ,得 到 的 56 比特 经 过 PC-1(Permutation Ls, Ls 
Choice 工 ,置换 选择 1) 得 到 各 为 28 比特 的 
Cs 和 Do, 分 别 经 过 一 个 循环 左 移 函 数 D 
LS1, 得 到 C 和 Di 连接 成 56 比特 ,经 去 1 | 
PC-2(Permutation Choice ][ ,置换 选择 2)， LS [ LS 
选取 48 位 ,得 到 Ki。 产生 其 他 轮 密 钥 K;， 1 | 
…,Ka 的 方法 依次 类 推 。PC-1 为 一 种 置 
换 , 用 于 打 乱 次 序 , 如 表 4. 5 所 示 。PC-2 也 el 
是 一 种 置换 ,可 打 乱 次 序 , 它 同时 也 是 压缩 “ - 中 
置换 ,去 掉 了 第 9,18,22,25,7,10,15,26 2 元 
位 ,以 增加 破译 难度 ,如 表 4.6 所 示 。 左 循 
环 移 位 的 个 数 在 不 同 的 轮 中 有 所 不 同 。 当 ee 
在 1,2,9,16 轮 时 ,移动 1 位。 在 其 他 轮 时 ,移动 2 位 ,如 表 4.7 所 示 。 
表 4.5 PC-1 置换 选择 1 
57 49 41 33 25 17 9 出 58 50 42 34 26 18 
10 2 59 51 43 35 27 19 11 3 60 52 44 36 
63 55 47 39 31 23 15 他 62 54 46 38 30 22 
14 6 61 53 45 37 29 21 13 5 28 20 12 4 
表 4.6 PC-2 置换 选择 2 
14 17 11 24 1 5 3 28 15 6 21 10 
23 19 12 4 26 8 16 多 27 20 13 2 
41 52 31 37 47 55 30 40 51 45 33 48 
44 49 39 56 34 53 46 42 50 36 29 32 
表 4.7 每 轮 移 动 的 次 数 
轮 2 3 4 5 6 了 8 9 10 | 11 12 13 | 14 15 16 
位 数 和 h 2 3 2 2 2 2 1 2 2 2 2 2 2 


通过 循环 移 位 和 置换 ,DES 的 密 钥 编排 方法 确保 了 原 密 钥 中 各 位 的 使 用 次 数 基 本 上 


相同 。 
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5. 对 DES 不 足 的 讨论 


现在 全 球 已 有 许多 关于 DES 的 成 熟 软件 和 硬件 产品 ,以 及 以 DES 为 基础 的 各 种 新 
的 密码 系统 ,其 中 DEC 公司 (Digital Equipment Corporation) 开 发 出 来 的 DES 芯片 速度 
最 快 ,其 加 密 和 解密 速度 可 高 达 1Gb/s。 

但 是 ,DES 的 保密 性 究竟 如 何 呢 ? 早 在 DES 被 正式 接受 之 前 ,围绕 着 对 DES 的 评价 
问题 就 展开 了 热烈 的 讨论 ,至 今 仍然 是 一 个 。 目 前 针对 DES 的 批评 主要 集中 在 以 下 
几 个 方面 ,而 且 随 着 科技 的 发 展 .DES 暴露 的 缺点 越 来 越 多 。 

1) 56 位 的 DES 的 密 角 长度 对 于 当前 的 计算 速度 来 说 太 小 

对 DES 保密 性 的 分 析 可 以 分 解 为 两 部 分 : 对 算法 本 身 的 分 析 和 对 使 用 56 位 密 钥 的 
分 析 。 前 一 种 情况 指 的 是 通过 研究 算法 的 性 质 而 破译 算法 的 可 能 性 。 这 些 年 来 ,对 寻找 


和 研究 该 算法 的 弱点 进行 了 非常 多 的 尝试 ,使 得 DES 是 现存 加 密 算法 中 被 研究 得 最 彻底 
的 一 个 。 尽 管 通过 了 那么 多 尝试 ,迄今 为 止 仍然 没有 人 成 功 找到 DES 的 致命 缺陷 。 另 一 
个 更 重要 的 考虑 是 密 钥 长 度 ,所 以 56 位 的 密 钥 长 度 成 为 DES 的 最 主要 弱点 。 

56 位 的 密 钥 长 度 有 2” 个 可 能 的 密 钥 , 约 为 7.2X10* 个 。 因 此 ,从 表面 看 来 , 穷 举 攻 
击 是 不 可 行 的 。 穷 举 攻 击 时 假设 平均 情况 下 必须 有 一 半 的 密 钥 空 间 要 被 穷 举 ,那么 每 微 


秒 做 一 次 DES 加 密 的 一 台 机 器 需要 超过 1000 年 的 时 间 来 破解 密 文 。 

然而 W. Diffie 和 M. E. Hellman 在 1979 年 就 认为 ,56 位 的 密 钥 长 度 不 够 ,因为 可 以 
通过 造价 约 2000 万 美元 的 并 行 密 钥 穷尽 搜索 专用 机 ,通过 一 天 左右 时 间 的 计算 可 以 得 到 
密 钥 , 从 而 破译 DES。1981 年 , Diffie 更 正 了 
估计 ,认为 这 种 专用 机 造价 约 为 5000 万 美元 ， 
破译 DES 的 时 间 需 要 两 天 。NBS 的 意见 是 : 
在 1990 年 以 前 还 是 无 法 制造 出 用 一 两 天 时 间 
尝试 2” 守 7X10* 个 密 钥 的 机 器 ,同时 造价 也 
太 高 了 ,一 般 承 受 不 起 。 但 是 ,人 们 不 得 不 承 
认 , 密 钥 长 度 不 够 ,无 论 如 何 是 对 DES 的 一 个 
潜在 的 危险 ,例如 1998 年 ,电子 前 哨 基金 会 
(Electronic Frontier Foundation, EFF ,一 个 信 
息 人 权 组 织 ) 制 造 了 一 台 DES 破解 器 , 如 
图 4.7 所 示 , 它 使 用 多 个 Deep Crack 芯片 搭 
成 ,造价 约 250000 美元 ,包括 1856 个 自 定 义 
的 芯片 ,在 56 个 小 时 内 利用 穷尽 搜索 的 方法 国生 入 本 本 
破译 了 56 位 密 钥 长 度 的 DES, 它 显示 了 迅速 破解 DES 的 可 能 性 。 

EFF 的 动力 来 自 于 向 民众 显示 DES 不 仅 在 理论 上 是 可 破解 的 ,而 且 在 现实 中 也 可 以 
实现 破解 。EFF 公布 了 对 这 个 机 器 的 详细 描述 ,使 得 其 他 人 也 能 够 制造 破解 机 。 随 着 硬 
件 速度 的 不 断 提升 和 价格 的 持续 下 降 , 使 DES 变 得 没有 实际 价值 。 为 了 提供 实用 所 需 的 
安全 性 ,可 以 使 用 DES 的 衍生 算法 3DES 来 进行 加 密 , 虽 然 3DES 也 存在 理论 上 的 攻击 
方法 ,但 这 些 方法 在 实际 中 难以 得 到 应 用 。 在 2001 年 ,DES 作为 一 个 标准 已 经 被 高 级 加 
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密 标 准 (Advanced Encryption Standard,AES) 所 取代 。 

需要 指出 , 密 钥 搜索 (key-search) 的 暴力 破解 攻击 不 仅仅 是 运行 全 部 可 能 的 密 钥 那 
么 简单 。 除 非 已 经 给 出 了 已 知 明文 ,不 然 破 译 还 需要 辨认 出 明文 。 如 果 消 息 仅 仅 是 直 白 
的 英语 文本 ,那么 很 容易 得 到 结果 ,尽管 必须 使 辨认 英语 的 工作 自动 化 。 如 果 文 本 消息 在 
加 密 前 经 过 了 压缩 ,那么 辨认 要 困难 得 多 。 同 时 如 果 消 息 是 更 一 般 的 数据 类 型 ,例如 用 数 
字 表 示 的 文件 ,并 且 被 压缩 过 ,问题 就 变 得 更 难以 自动 化 。 因 此 ,在 穷 举 攻击 之 外 ,需要 在 
一 定 程 度 上 了 解 预期 的 明文 ,也 需要 一 些 能 自动 分 辨 出 明文 的 方法 。EFF 同样 指出 了 这 
个 问题 ,并 且 介绍 了 一 些 在 很 多 情况 下 都 有 效 的 自动 化 技术 。 

最 终 的 结论 是 ,如 果 对 加 密 算法 能 进行 的 唯一 攻击 形式 是 穷 举 方法 ,那么 抵抗 这 类 攻 
击 的 方法 就 很 明显 了 : 使 用 更 长 的 密 钥 。 为 了 对 需要 的 密 钥 长 度 有 一 个 认识 ,我 们 使 月 
EFF 破解 机 作为 评估 的 基础 。EFF 破解 机 是 一 个 原型 ,可 以 假设 按照 如 今 的 技术 ,使 月 
速度 更 快 、 成 本 更 低 的 机 器 。 如 果 我 们 假设 破解 机 能 够 在 lys 内 做 100 万 次 解密 ,那么 一 
个 DES 密码 需要 10 小 时 来 破解 ,和 EFF 的 结果 相 比 速度 约 为 其 7 倍 。 例 如 ,对 目前 普 
遍 使 用 的 128 位 长 的 密 钥 , 使 用 EFF 破解 机 需要 超过 108 年 才能 破解 密码 。 如 果 能 够 将 
破解 机 加 速 到 10 000 亿 (102) 倍 , 仍 需要 超过 100 万 年 的 时 间 来 破解 密码 。 所 以 128 位 
的 密 钥 能 保证 算法 不 能 被 穷 举 破解 。 

2) DES 的 迭代 函数 的 16 次 运算 次 数 可 能 太 少 

在 DES 中 ,迭代 的 次 数控 制 着 因 换 位 而 产生 扩散 量 的 随机 性 。 如 果 DES 迭代 的 次 
数 不 够 ,一 个 输出 位 就 会 只 依赖 于 少数 几 个 输入 位 ,从 而 不 可 能 造成 随机 分 布 量 。A. 
Konheim 指出 ,8 次 迭代 之 后 ,加 密 本 质 上 可 以 看 成 每 一 个 明文 位 是 每 一 个 密 文 位 的 随机 
函数 ,那么 为 什么 要 迭代 16 次 而 不 是 8 次 呢 ? 

1990 年 ,E， Bihan 和 A. Shamir 发 明了 差分 分 析 方法 ,是 对 分 组 密码 进行 密码 分 析 
的 最 佳 手段 之 一 ,他 们 运用 差分 分 析 方 法 证 明 ,通过 已 知 明文 的 攻击 ,任何 少 于 16 次 迭代 
的 DES 算法 都 可 以 用 比 穷 举 法 更 有 效 的 方法 破译 。 因 此 ,DES 算法 选取 迭代 次 数 16 是 
适宜 的 ,恰好 能 够 抵抗 差分 分 析 方 法 的 攻击 。 这 不 禁 引 起 人 们 的 怀疑 ,这 是 偶然 的 巧合 
吗 ? 似乎 不 是 ,IBM 公司 的 D. Coppersmith 在 一 份 内 部 报告 中 说 :“IBM 设计 小 组 早 在 
1974 年 就 掌握 了 这 种 差分 分 析 方法 的 攻击 原理 ,因此 在 设计 S 盒 ( 即 替代 函数 ) 和 置换 变 
换 时 考虑 上 述 破译 手段 ,这 就 是 为 什么 DES 能 够 抵抗 差分 分 析 方法 攻击 的 原因 ,我们 不 
希望 外 界 掌握 这 一 强 有 力 的 密码 分 析 方 法 ,因此 这 些 年 我 们 一 直 保持 沉默 。 现 在 既然 已 
经 公开 这 一 技术 ,我 们 认为 是 将 这 段 历史 公之于众 的 时 候 了 。?” 

3) S 盒 中 可 能 存在 着 不 安全 的 因素 

Hellman 等 曾 对 在 S 盒 中 是 否 存在 密码 分 析 的 捷径 问题 提出 质疑 ,他 们 认为 : S 盒 
设计 标准 应 当 公 布 , 以 便 公 开 讨论 S 盒 的 安全 性 。 

4) DES 的 一 些 关键 部 分 不 应 当 保密 

美国 国家 安全 局 NSA 告诫 DES 的 设计 者 , 代 换 和 置换 的 设计 标准 是 “敏感 ”的 ,并 且 
要 求 IBM 公司 不 要 公布 这 些 信息 和 数据 。 很 显然 ,这 是 不 符合 第 3 章 提出 的 柯 克 霍 夫 斯 
的 密码 设计 原则 。 除 此 之 外 ,批评 者 还 指出 ,不 公布 这 些 数 据 , 会 使 设计 者 在 密码 分 析 方 
面 占 优势 ,不 能 使 人 信服 IBM 和 NSA 关于 DES 是 安全 的 一 般 结论 。 
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4.2.2 三 重 DES 


DES 安全 性 的 最 大 隐患 是 密 钥 太 短 ,为 充分 利用 现 有 DES 的 软 硬 件 资源 ,可 使 用 多 
重 DES 增加 密 钥 量 ,提高 抗击 密 钥 穷 举 攻击 的 能 力 。1999 年 美国 NIST 发 布 了 新 版 本 的 
DES 标准 (FIPS PUB46-3) ,指出 DES 仅 能 用 于 遗留 系统 ,3DES 取代 DES 成 为 新 的 
标准 。 


1. 二 重 DES 


二 重 DES 是 多 重 DES 的 最 简单 形式 , 即 C 一 Eu (Eu (M) ,解密 时 M 一 Du (Du (C))。 

但 如 果 出 现 以 下 情况 
Eu (Eu (M)) = Eu (M) 

二 重 和 多 重 DES 就 等 同 于 一 次 DES 加 密 , 就 没有 意义 了 。 

答案 是 这 种 情况 不 会 出 现 。1992 年 K，W.，Campbell 和 M. J. Wiener 在 CRYPTO 92 
上 发 表 了 论文 ,证 明 DES 不 是 一 个 群 (group)。 一 个 基本 原理 是 : 如 果 复 合 运算 不 满足 
交换 律 , 且 相互 独立 , 则 这 一 种 复合 运算 的 结果 将 使 复杂 度 增加 。 直 觉 上 看 ,假设 分 组 的 
长 度 为 64, 则 理想 分 组 密码 的 密 钥 空间 为 2*! 二 10”。 这 是 一 个 很 大 的 数 ,实际 对 56 位 
的 密 钥 能 定义 的 映射 个 数 为 2” 二 10” , 远 远 小 于 这 个 数 。 


2. 二 重 DES 的 中 间 相 遇 攻 击 


二 重 DES 的 密 钥 长 度 为 112 位 , 密 钥 量 本 身 可 以 抵御 目前 的 穷 举 攻击 ,但 是 ,二 重 
DES 不 能 抵御 中 间 相 遇 攻 击 (meet-in-the-middle)。 顾 名 思 义 ,就 是 寻找 一 个 中 间 值 
X=E, (M)=D,, (C)。 

对 于 给 定 的 明 密 文 对 (zx,y) ,可 采用 如 下 攻击 步 又， 

(1) 将 < 按 所 有 可 能 的 密 钥 Ki;(i==1,2,… ,2”) 加 密 , 得 到 的 加 密 结果 排序 保存 到 表 
TT 中 ,例如 (Ku sz) ,CK sz) ss(Kyuszn) ,t=2%。 

(2) 将 y 用 所 有 可 能 的 密 钥 Ks(i 二 1,2,… ,2”) 解 密 , 每 解密 一 次 ,就 将 解密 结果 与 
工 中 的 值 比较 。 如 果 有 相等 的 ,不 妨 设 是 =，' 对 应 的 密 钥 为 Ks, ( 即 DESk, (z) 一 sn 一 
DESR (y)) 。 满 足 这 一 条 件 的 天。 可 能 不 止 一 个 ,于 是 需要 选择 另外 一 个 明文 密 文 对 
(zy ) ,验证 y 二 DESk,, (DESxk,, (x )), 如 果 成 立 则 认定 这 个 密 钥 为 正确 。 

为 了 抵抗 中 间 相 遇 攻 击 , 可 以 使 用 三 重 DES。 三重 DES 有 4 种 模式 ,如 图 4.8 
所 示 。 


DES-EEE3 模式 : 

C= Eu (Eu (CEu (M))) 
DES-EDE3 模式 : 

C= E, (D,, (Es (M))) 
DES-EEE2 模式 : 


C= E, (E, (Es (MW)) 
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M—=| E -| E | 玉 一 C CE.(Er(En( MI) 
二 | 后 | 厂 

1 一 = E ~ 站 =| EE CC CFE(Di(E(M))) 
J 

1 一 =| E 一 | 三 一 | FE 一 C C-E,(E.(E, (MY) 
1 | 局 | 和 

M—”| E ~ DD ~ 区 一 C CE (DA(EL(MD)) 


图 4.8 三 重 DES 的 四 种 模式 


DES-EDE2 模式 : 

C= E (D,, (Er (M))) 

前 两 种 模式 使 用 了 3 种 不 同 的 密 钥 , 每 个 密 钥 长 度 为 56 位 ,因此 总 密 钥 长 度 达到 
168 位 。 后 两 种 模式 使 用 两 个 不 同 的 密 钥 ,总 密 钥 长 度 为 112 位 ,提高 了 抗 穷 举 攻击 的 能 
力 , 但 处 理 速度 较 慢 ,尤其 难以 有 效 地 用 软件 实现 。 

DES-EDE3 模式 和 DES-EDE2 模式 中 出 现 了 解密 , 初 看 上 去 会 觉得 奇怪 ,但 第 二 步 
使 用 的 解密 没有 密码 方面 的 特别 意义 。 这 样 做 的 目的 是 ,如 果 Ki 二 K; 则 三 重 DES 退化 
成 DES, 好 处 是 让 3DES 的 使 用 者 能 够 解密 原来 单 重 DES 使 用 者 加 密 的 数据 : 

C= Eu (Du (Eu (M))) = Eu (M) 

对 三 重 DES (triple-DES,3DES) 的 标准 化 最 初出 现在 1985 年 的 ANSI 标准 X9. 17 
中 。 为 了 把 它 用 于 金融 领域 ,1999 年 随 着 FIPS PUB 46-3 的 公布 ,把 它 合并 为 数据 加 密 
标准 的 一 部 分 。 三 密 钥 的 三 重 DES 在 许多 基于 Internet 的 应 用 中 被 采用 ,如 PGP 和 
S/MIME. 

很 容易 看 出 ,3DES 是 一 个 强大 的 算法 ,因为 底层 密码 算法 是 DES,DES 算法 本 身 的 
抵抗 破译 能 力 ,3DES 同样 也 有 。 不 仅 如 此 ,由 于 168 比特 的 密 钥 长 度 , 穷 举 攻击 更 没有 
可 能 。 

最 终 AES 将 取代 3DES,NIST 预言 在 可 预见 的 将 来 3DES 仍 将 是 被 批准 的 算法 (为 
美国 政府 所 使 用 ) ,目前 在 实际 应 用 中 ,AES 和 3DES 同时 并 存 。 


4.2.3 高 级 加 密 标准 (AES) 


3DES 有 两 个 吸引 人 之 处 ,第 一 ,由 于 168 比特 的 密 钥 长 度 , 它 克服 了 DES 对 付 穷 举 
攻击 的 不 足 。 第 二 ,3DES 的 底层 加 密 算法 和 DES 相同 ,而 这 个 算法 比 任何 其 他 算法 都 
经 过 了 更 长 时 间 、 更 详细 的 审查 , 除 穷 举 方法 以 外 没有 发 现任 何 有 效 的 基于 此 算法 的 攻 
击 。 因 此 ,有 足够 理由 相信 3DES 对 密码 破译 有 强大 的 抵抗 力 。 如 果 安 全 是 唯一 的 考虑 
因素 ,那么 3DES 将 是 接 下 来 几 十 年 中 标准 化 加 密 算法 的 合理 选择 。 

3DES 的 基本 缺陷 是 算法 软件 运行 相对 较 慢 。 原 DES 是 为 20 世纪 70 年 代 中 期 的 硬 


件 实现 设计 的 ,没有 高 效 的 软件 代码 。3DES 迭代 轮 数 是 DES 的 3 倍 , 因 此 更 慢 。 第 二 个 
缺陷 是 DES 和 3DES 都 使 用 64 比特 大 小 的 分 组 。 出 于 效率 和 安全 原因 ,需要 更 大 的 
分 组 。 

因为 这 些 缺 陷 ,3DES 不 是 长 期 使 用 的 合理 选择 。 作 为 替代 ,1997 年 NIST 公开 征集 
新 的 高 级 加 密 标准 (AES) ,要 求 它 有 和 3DES 等 同 或 者 更 高 的 安全 强度 ,并 且 效 率 有 显著 
提高 。 除 这 些 基本 要 求 外 ,NIST 还 指定 AES 必须 是 分 组 大 小 为 128 比特 的 分 组 密码 ， 
支持 密 钥 长 度 为 128、192 和 256 比特 。 评 估 指 标 包括 安全 性 、 计 算 效 率 、 所 需 存 储 空间 、 
软 硬 件 适 配 度 , 以 及 灵活 性 等 。 

在 第 一 轮 评估 中 ,通过 了 15 个 候选 算法 ,第 二 轮 则 把 范围 减 小 到 了 5 个 ,事实 上 能 进 
入 第 一 轮 的 15 个 候选 算法 都 是 很 优秀 的 算法 ,这 些 作 者 也 为 能 成 为 AES 的 候选 算法 而 
感到 自豪 。2001 年 11 月 NIST 完成 评估 并 发 布 了 最 终 标准 (FIPS PUB 197) ,NIST 选择 
了 Rijndael( 读 作 rain-doll) 作 为 AES 算法 。 开 发 和 提交 Rijndael 作为 AES 算法 的 是 两 
位 来 自 比 利 时 的 密码 学 家 Joan Daemen 博士 和 Vincent Rijmen 博士 。 


1. 算法 简介 


AES 使 用 的 分 组 大 小 为 128 比特 , 密 钥 长 度 可 以 为 128、192 或 256 比特 。 在 本 节 的 
描述 中 ,我 们 假设 密 钥 长 度 为 128 比特 ,这 可 能 是 最 常用 的 长 度 。 

图 4.9 给 出 了 AES 的 总 体 结构 。 加 密 和 解密 算法 的 输入 是 一 个 128 比特 的 分 组 。 
在 FIPS PUB 197 中 ,分 组 被 描述 为 一 个 字 节 方 阵 。 分 组 被 复制 到 状态 Cstate) 数 组 ,这 个 
数组 在 加 密 或 解密 的 每 一 步 都 会 被 更 改 。 最 后 一 步 结 束 后 ,状态 数组 将 被 复制 到 输出 矩 
阵 。 类 似 地 ,128 比特 的 密 钥 也 被 描述 为 一 个 字 节 方 阵 。 然 后 , 密 钥 被 扩展 成 一 个 子 密 钥 
字 的 数组 ;每 个 字 是 4 字 节 ,而 对 于 128 比特 的 密 钥 , 子 密 钥 总 共有 44 个 字 。 和 矩阵 中 字 节 
的 顺序 是 按 列 排序 的 。 例 如 ,128 比特 的 明文 输入 的 前 4 个 字 节 占 输入 (in) 和 矩阵 的 第 
1 列 , 接 下 来 4 个 字 节 占 第 2 列 , 依 此 类 推 。 类 似 地 ,扩展 密 钥 的 前 4 字 节 即 一 个 字 占 
w 矩阵 的 第 1 列 。 


2. 总 体 结构 


如 图 4. 9 所 示 , Rijndael 加 密 算法 的 轮 函数 采用 SP 结构 ,Rijndael 没有 使 用 Feistel 
结构 ,而 是 在 每 轮 蔡 换 和 移 位 时 都 并 行 处 理 整个 数据 分 组 。 每 一 轮 由 字 节 代 换 (Csub 
byte) , 行 移 位 变换 (shift row) 、 列 混合 变换 (mix column)、 轮 密 钥 加 变换 (add round key) 
组 成 。AES 最 后 一 轮 没有 列 混合 变换 ,类 似 DES 中 最 后 一 轮 没 有 交换 。 在 第 一 轮 之 前 
有 一 个 初始 轮 密 钥 加 ,初始 轮 密 钥 加 对 安全 性 无 任何 意义 。 具 体 而 言 ,算法 执行 一 个 “ 初 
始 轮 密 钥 加 ”, 然 后 执行 N, 一 1 次 * 中 间 轮 变换 ”, 以 及 一 个 “未 轮 变换 ”。 


3. 组 成 部 分 


(1) 字 节 代 换 (sub byte) 。 可 将 字 节 变换 方法 制 成 S 盒 表格 ( 见 表 4. 8) ,通过 查 表 进 
行 快速 变换 。 


对 称 加 密 


读 和 人 明文 、 密 钥 


U 
产生 轮 密 钥 


AddRoundKey 


1 


Round(State.ExpandedKey) 
f 


‘ 
SubByte( State); 
SwitchRow(State); 
MixColumn(State); 
AddRoundKey(State,ExpandedKey); 
1 


FF 


Nl 


1 
上 
百人 寡人 上 
原始 密 钥 | Final Round(State,ExpandedKey) 
| f 
| - 一 SubByte(Stabe); 
密 铀 扩展 | | | 行 移 位 与 列 混合 | 一 { < 适 代 控制 SwitchRow(State 
| 1 AddRoundKey(State,ExpandedKey); 
| 1 ! } 
| 
一 一 -+ 一 | 轮 密 钥 加 | 
1 
1 


图 4.9 AES 算 法 总 体 框架 


表 4.8 AES 的 S 盒 
0 WW 2 3 4 5 6 7 8 9 a b c d e 


0 63|7C|77|7B|F2|6B| 6F|C5|30|01|67|2B|FE|D?|AB| 76 


CA|82|cC9|7DIFA|S59 |47|FoO|IADID|A2|IAF|ISSC|IA|I72| CO 


B7 |FD|9%3|26|36|3F|F7 |ccl34|A5| E |P | 71|D131 15 


04 |Cc7 |23| ci|18|19%6|05 |9A|107 |121|180| 到 |B 子 |27 |B2 75 


09|83|2C|1A|1B|6E|5A|IA0|l52|3B|ID|B|2|E | 3F 84 


DoO|IEF|IAA|IFB|43|4D|33|85 |45|F9|02|7F|50|3C| 9F | As 


2 
3 
4 
5 53 |D1|00 |ED|20|FC|IBI|S5B|6A|ICBIBE| 39 |4A|4C|58 | CF 
6 
7 


51 | A3 | 40 | 8F | 92|9D|38|F5s5|EC|IE |IDA|I21|10|FF|IF3| D2 


Bl CD | oC|13|EC|S5F|97|4|17|C4|A7|?7E|3D|64|5D| 19 73 
gq 60 |81|4F|DC|22|2A|90|88|46|EE|BS|14|DE| 5E|o0B| DB 


a Eo|32|3A|0A|49|0|24|5C|C2|D3|AC| 62|91 | 95 |E4 79 


BM E7| Cs8|37|6D|8D|Ds| 4E|A9|6C|s56 |F4|EA|65|7A|AE| 08 


72 


对 称 加 密 


如 下 给 出 一 个 输入 输出 状态 矩阵 的 例子 。 


F5 56 10 | 20 E6 | Bl | CA | B7 


6B 44 37 | 39 S 盒 代 换 x lB | 5B 12 


01 03 | 6C | 21 7C | 7B 1350 |1FD 


AF | 30 | 32 | 34 ed 04 | 23 18 


问题 是 S 盒 是 如 何 设计 的 。AES 的 S 盒 设计 不 像 DES 的 S 盒 设计 那么 神秘 ,而 是 
有 严格 的 公开 的 数学 计算 ,从 而 让 AES 使 用 者 可 以 放心 地 使 用 。 其 设计 原理 是 将 一 个 
字 节 非 线性 地 变换 为 另 一 个 字 节 ,由 两 个 变换 复合 而 成 : 一 个 是 求 GF(2 ) 上 的 乘法 逆 ， 
另 一 个 是 仿 射 变 换 。 对 这 两 个 变换 的 数学 计算 感 兴趣 的 读者 ,可 以 参考 密码 学 的 相关 
书籍 。 

(2) 行 移 位 变换 (shift row)。 将 状态 矩阵 中 的 每 一 行 循环 左 移 若 干 位 。 将 行 移 位 运 
算 表 示 为 Re: S- 之 R(S)。 具 体 地 说 ,第 0 行 不 移动 ,第 1 行 循环 左 移 1 位 ,第 2 行 循环 左 
移 2 位 ,第 3 行 循 环 左 移 3 位 , 即 


| "位 Wi S50 
| 循环 在 移 位 SS, Sa Sn 
循环 左 移 2 位 Sa Ss Sy0 So 
循环 左 移 3 位 Ss So Sl Sa 


行 移 位 实现 了 字 节 在 每 一 行 的 扩散 ,自然 地 ,还 需要 实现 字 节 的 改变 在 列 的 扩散 。 

(3) 列 混合 变换 (mix column) 。 把 状态 矩阵 每 列 的 4 个 字 节 表示 为 GF(28) 上 的 多 
项 式 SCz) ,再 将 该 多 项 式 与 固定 多 项 式 c(x) 做 模 x 十 1 乘法。 即 S'(x) =c(x) 四 
SCz)mod(Czt 十 1), 这 里 ,cCz) = 王 '037Y3s 十 "0172 十 "017 十 '025 列 混合 的 映射 可 以 
看 成 : 


So So So So So ,Sor Sh So 
So Sn Sa Sn EE S%. Sr, Ss SG 
Sz Sa Ss Szs Sa Sua Ss Sa 
Sa Ss Si S;s 3 SS. .Be 


Si(z) 一 saiz3 十 Saiz2 十 5iz 十 si， OZIj<3 
SI(z)=582 十 十 sz 十 吧 y 0 和 3 
Si(z) 一 cCz)GSi(z) 一 cCz)Si(z)mod(zt 十 1) 

由 于 cCz) 固 定 , 故 可 以 将 该 乘法 写成 如 下 形式 : 

sh] Fo2 03 01 01]1Tsu 

SI 01 02 03 01||s5 


S$ |ol ol oz os 站 I 0 
s3 03 01 01 02j|s; 
于 是 , 列 混合 即 为 矩阵 乘法 
Bw on ee By 02 03 04 Oll]fso so soz sos 


5 i Sis sls 01 02 03 0l|l|lso su si S13 
So Sol ‘Sts ‘ses 01 ‘0 02 O08 || sy Sel ‘Ses jes 
i 03 01 01 02JLs 3m 3 玉 
于 是 ,可 以 记 列 混合 运算 为 M(S) 二 CS。 这 里 C 为 矩阵 
02 03 04 01 
01 02 03 01 
01 01 02 03 
03 01 01 02 
MixCloumn 用 到 了 AES 的 第 二 个 基本 运算 一 一 字 运 算 , 即 系数 在 有 限 域 GF(2 ) 上 
的 运算 。 
(4) 轮 密 钥 加 (add round key)。 轮 密 钥 加 是 通过 密 钥 生 成 算法 从 初始 密 钥 中 产生 
的 ,其 长 度 等 于 分 组 长 度 ,为 128 比特 (4 个 字 )。 轮 密 钥 加 变换 就 是 简单 地 将 一 个 轮 密 钥 
按 位 异 或 到 一 个 状态 上 ,也 就 是 将 轮 密 钥 矩阵 与 状态 矩阵 的 对 应 字 节 异 或 。 


4. 密 钥 扩展 算法 (key expansion, 轮 密 钥 生成 ) 


10 轮 AES 需要 11 个 轮 密 钥 ,每 个 轮 密 钥 由 16 个 字 节 (4 个 字 ) 组 成 。 整 个 扩展 密 
钥 共 包含 44 个 字 ,表示 为 w[0],w[1],…,w[43], 它 由 种 子 密 钥 通 过 扩展 算法 得 到 。 
密 钥 扩展 算法 (key expansion) 的 输入 为 128 比特 ,处 理 成 一 个 由 16 个 字 节 组 成 的 数 
组 : key[L0],…,key[15]; 输 出 为 字 组 成 的 数组 ww[0],z[1],…,z[43]。 密 钥 扩 展 包括 
两 个 操作 : RotWord 和 SubWord。 前 者 表示 循环 移 位 , 即 RotWord(B,,B,,B:,,B:) 
一 (B: ,B, ,B: ,Bo) ,后 者 SubWord(B。 ,Bi,Bi,Bs) 对 4 个 字 节 (Bo ,Bi,Bi,B;s) 使 用 
AES 中 的 S 盒 代 换 。 即 SubWord(B。,B,B,,B;)==(B,,B1,Bs,Bs), 其 中 B'= 
SubByte(B;) ,i 一 0,1,2,3。 另 外 ,用 RCon 表示 有 10 个 字 的 常量 数组 RCon[1],…， 
RCon[10], 如 表 4.9 所 示 。 
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表 4.9 RCon[ 吕 
i 1 2 3 4 5 
RCon[ 订 01000000 02000000 04000000 08000000 10000000 
i 6 7 8 9 10 
RCon[] 20000000 40000000 81000000 1B000000 36000000 


RCon 是 一 个 常数 数组 。RCon[ 门 = 《x7! ,00,00,00) ,i 宇 1。z"! 表 示 有 限 域 GF(2) 中 
的 多 项 式 z 的 i 一 1 次 方 对 应 的 字 节 ,. 即 02, 于 是 有 RCon[i]==(c;,00,00,00) ,i 三 1,c 二 
01,c;=02* ci_1)i>1。 

图 4.10 给 出 了 密 钥 扩展 的 示意 图 。 


|- 
六 大 ] 轮 密 钥 
I 


沦 密 钥 
图 4.10 密 钥 扩展 的 示意 图 


下 面 给 出 密 钥 扩展 程序 的 伪 代 码 。 根 据 N 的 不 同 有 N 三 6,N, 记 6 两 个 版 本 。 
Key[ ] 表 示 初 始 密 钥 列 向 量 ,W[ ] 表 示 密 钥 的 列 向 量 。 
若 Nt 生 6, 有: 


KeyExpansion(Byte Key[ 4x*N.] ,LN *(N.+1)]) 
{ 
For(i=0;i< NM;it++) 
i=(Key[ 4*i],Key[ 4x*i+1],Key[ 4*i+2],Key[4xi+3]; // 将 密 钥 排 成 4 字 一 列 
For(i=N;i<N x*(N.+1);i++) 
{ 
Temp=W[ i- 1]; 
If(isN==0) 
TEM P= SubByte(RotWord(temp) )@DRCon[ i/Ny ]; 
研 训 = 态 i- NJ]Dtemp; 
, 
} 


车 Ni>>6, 有 : 


// 左 循环 移 位 一 个 字 后 与 Rcon 
// 异 或 ,每 当 i 为 N: 倍数 时 异 或 


KeyExpansion(Byte Key[ 4*N.] ,WN *(N.+1)]) 
{ 
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For(i=0;i<NM;i++) 
Wi]=(Key[ 4*i],Key[ 4*i+1],Key[ 4*i+2],Key[ 4*i+3]); 


For(i=N;i<MW x*(N+1);i++) 
{ 


Temp=W[ i- 1]; 
If(i%M==0) 
Tem p= SubByte( RotWord( temp) ) DRcon[ i/N:]; 
Else if(i%N.==4) // 与 拟 二 6 程序 的 唯一 区 别 ,车 i- 4 为 N. 的 倍数 
Temp= SubByte( temp) ; // 多 做 一 次 字 节 代 换 


Ei]=Wi- NJ®Dtemp; 
} 
+ 


下 面 是 对 AES 算法 的 一 些 说 明和 总 结 ,可 以 让 读者 对 AES 有 更 清晰 的 印象 

(1) AES 不 是 Feistel 结构 。 典 型 Feistel 的 结构 中 数据 分 组 的 一 半 用 来 更 改 另 一 
半 , 然 后 两 部 分 对 换 。AES 没有 使 用 Feistel 结构 ,而 是 在 每 轮 蔡 换 和 移 位 时 都 并 行 处 理 
整个 数据 分 组 。 

(2) 输入 的 密 钥 被 扩展 成 44 个 32 比特 字 的 数组 ww[ 菇 。4 个 不 同 的 字 (128 比特 ) 用 
作 每 轮 的 轮 密 钥 。 

(3) 进行 了 4 个 不 同 的 步骤 ,1 个 是 移 位 ,3 个 是 替换 : 
字 节 代 换 (substitute byte) : 使 用 一 个 表 ( 称 为 S 盒 ,S-box) 来 对 分 组 进行 逐一 的 
字 节 替换 。 
行 移 位 (shift row) : 对 行 做 简单 的 移 位 。 
列 混合 (mix column) : 对 列 的 每 个 字 节 做 蔡 换 , 是 一 个 与 本 列 全 部 字 节 有 关 的 
函数 。 

。 轮 密 钥 加 (add round key) : 将 当前 分 组 与 一 部 分 扩展 密 钥 简单 地 按 位 异 或 。 

(4) 结构 非常 简单 。 对 于 加 密 和 解密 ,密码 都 是 从 轮 密 钥 加 开始 , 接 下 来 经 过 9 轮 迭 
轮 , 各 包含 4 个 步骤 ,最 后 进行 一 轮 包 含 3 个 步骤 的 第 10 轮 迭 代 。 

(5) 只 有 轮 密 钥 加 步骤 使 用 了 密 钥 。 由 于 这 个 原因 ,密码 在 开始 和 结束 的 时 候 进 行 
轮 密 钥 加 步 又。 对 于 任何 其 他 步 又, 如果 在 开始 或 者 结束 处 应 用 ,都 可 以 在 不 知道 密 钥 的 
情况 下 进行 反 向 操作 ,并且 不 会 增强 安全 。 

(6) 像 大 多 数 分 组 密码 一 样 ,解密 算法 也 是 按照 相反 的 顺序 使 用 扩展 密 钥 。 但 是 解 
密 算法 并 不 与 加 密 算法 相同 ,这 是 AES 特殊 结构 的 结果 。 


4.3 随机 数 和 伪 随机 数 


在 多 个 网 络 安全 应 用 程序 加 密 的 过 程 中 ,随机 数 起 了 非常 重要 的 作用 。 本 节 将 对 随 
机 数 进行 概述 。 
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4.3.1 随机 数 的 应 用 


一 些 网 络 安全 算法 的 安全 性 依赖 于 密码 中 用 到 的 随机 数 , 例 如 : 

。 RSA 公开 密 钥 加 密 算 法 和 其 他 的 公开 密 钥 算法 中 密 钥 的 生成 。 

。 生成 用 于 临时 会 话 的 对 称 会 话 密 钥 。 这 个 功能 被 许多 网 络 应 用 使 用 ,例如 传输 层 
安全 、WiFi 安全 .电子 邮件 安全 和 卫 安全 。 

。 在 许多 密 钥 分 配方 案 中 ,例如 Kerberos, 随 机 数 被 用 来 建立 同步 交换 以 防止 重 放 
攻击 。 

信息 安全 对 随机 数 提出 了 这 样 的 需求 : 随机 数 要 尽量 随机 ,同时 不 可 预测 。 具 体 的 

解释 如 下 : 


1. 随机 性 


一 般 情况 下 ,随机 数 生成 过 程 中 要 注意 的 问题 就 是 这 一 系列 数据 在 严格 意义 上 来 说 
是 要 随机 的 。 下 列 标准 是 用 来 验证 一 个 数列 是 否 是 随机 的 。 

。 均匀 分 布 : 在 一 定 次 序 或 者 序列 上 的 比特 分 布 要 均匀 分 配 。1 和 0 出 现 的 频率 必 

须 大 致 相同 。 

。 独立 : 在 同一 序列 上 ,没有 一 个 数字 能 影响 和 干涉 其 他 数字 。 

虽然 已 经 有 许多 明确 的 方法 可 以 来 检测 一 个 数列 是 否 符合 一 个 特定 的 分 布 ,但 在 均 
匀 分 配 中 ,没有 一 个 明确 的 方法 能 证明” 独立 性 。 相 反 , 许 多 方法 能 够 被 用 来 解释 一 个 数 
列 是 否 不 呈现 出 独立 性 。 普 遍 的 解决 方法 是 使 用 多 个 这 样 的 测试 ,直到 能 确保 这 些 独立 
性 存在 的 概率 足够 大 。 

在 我 们 讨论 的 背景 下 ,呈现 出 统计 上 随机 的 数字 串 应 用 经 常 产生 与 密码 学 相关 的 算 
法 设计 。 例 如 ,在 下 一 章 讨论 的 RSA 公 钥 加 密 算 法 的 重要 基础 就 是 能 够 产生 素数 。 总 体 
来 说 ,很 难 确定 一 个 给 出 的 大 数字 N 是 素数 ,一 个 完全 可 信 的 途径 是 用 每 一 个 小 于 VN 
的 奇 整数 去 除 N 但 如 果 N 达到 10'” 量 级 (在 公 钥 密码 中 很 常见 ) ,那么 这 个 素性 检测 方 
法 就 超出 了 分 析 家 和 计算 机 的 能 力 。 无 论 如何 , 许 多 有 效 的 素性 检测 算法 利用 随机 抽取 
的 整数 来 检测 这 个 数字 的 素性 ,这 种 方法 相对 来 说 比较 简单 .随机 抽取 的 整数 质量 决定 了 
素性 检测 的 质量 。 如 果 这 一 序列 足够 长 (但 是 远 远 小 于 M10 ) ,这 个 数 的 素性 几乎 能 被 
确定 。 这 种 策略 被 称 为 随机 选择 , 它 频繁 地 出 现在 加 密 算法 设计 中 。 大 体 上 ,如 果 一 个 问 
题 很 难 或 者 很 耗费 时 间 来 解决 ,那么 将 用 一 个 基于 随机 选择 的 简单 策略 来 代 蔡 ,这 种 策略 
计算 结果 的 可 信和 度 通常 都 令 人 满意 。 


2. 不 可 预测 性 


在 一 些 应 用 中 ,例如 相互 鉴别 和 生成 会 话 密 钥 ,我 们 并 不 过 多 要 求 数列 是 统计 上 随 
机 ,但 是 这 个 数列 上 连续 数位 应 该 是 不 可 预测 的 。 在 一 个 真正 的 随机 数列 中 ,每 一 个 统计 
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出 的 数字 将 会 独立 于 其 他 数字 ,因此 这 个 数字 是 不 可 预测 的 。 虽然 如 此 ,真正 的 随机 数字 
不 能 总 被 使 用 ;相反 的 是 ,一 些 算法 能 够 产生 呈现 出 随机 的 数列 。 我 们 必须 保证 攻击 者 无 
法 根据 早期 得 到 的 数据 预测 未 来 的 数据 。 


4.3.2 真 随机 数 发 生 器 、 伪 随机 数 发 生 器 和 伪 随 机 函数 


密码 应 用 通常 利用 随机 数 生成 的 算法 技术 。 这 些 算法 具有 确定 性 的 特点 ,因此 产生 
的 数列 不 具有 统计 上 的 随机 性 。 虽 然 如 此 ,如 果 这 个 算法 很 好 ,那么 产生 出 的 数列 将 会 通 
过 很 多 合理 的 随机 性 测试 ,这 种 数字 被 称 为 伪 随 机 数字 。 

也 许 你 会 对 将 确定 性 算法 生成 的 数字 用 作 随 机 数 这 一 概念 感到 不 安 。 尽 管 对 于 这 种 应 
用 存在 “哲学 上 ”的 异议 , 它 在 总 体 上 是 有 效 的 ,我 们 可 以 接受 这 种 古怪 的 “相对 随机 ”的 

图 4.11 鲜明 地 将 一 个 真 随机 数 发 生 器 和 两 个 伪 随 机 数 发 生 器 进行 了 对 比 。 真 随机 
数 发 生 器 将 一 个 有 效 的 随机 源 作为 输入 端 ;这 个 源 被 称 为 炉 源 。 本 质 上 ,这 个 炉 源 是 从 计 
算 机 的 物理 环境 上 得 到 的 ,并 且 包 含 按键 时 序 特性 ,磁盘 的 电气 活动 ,鼠标 移动 和 瞬间 的 
系统 时 钟 。 这 个 源 ,或 者 这 些 源 的 结合 ,作为 一 个 算法 的 输入 端 来 产生 随机 二 进 制 数 输 
出 。 真 随机 数 发 生 器 能 够 简单 地 引入 一 个 模拟 源 的 转换 来 进行 二 进 制 输 出 。 真 随机 数 发 
生 器 包含 了 附加 的 操作 来 克服 来 源 中 的 偏 移 。 


汪汪 ， 特定 环境 

真 随机 源 种 子 种 子 “ 中 的 值 
| | | | 
转化 为 二 进 制 确定 性 算法 确定 性 算法 
随机 比特 流 伪 随机 比特 流 伪 随 机 值 
他 真 随机 数 发 生 器 。 。(b) 伪 随 机 数 发 生 器 (© 伪 随 机 函数 


图 4.11 随机 和 伪 随 机 数 发 生 器 


相 比 之 下 , 伪 随 机 数 发 成 器 采用 一 个 不 变 值 作为 输入 端 ,这 个 不 变 值 称 为 种 子 , 并 且 
运用 了 确定 的 算法 来 产生 一 系列 的 输出 比特 。 如 图 4. 11(b) 所 示 ,算法 的 结果 通过 回馈 
途径 送 到 输入 端 。 要 特别 指出 的 是 ,输出 比特 流 仅 仅 被 输入 值 所 决定 ,也 就 是 说 ,如 果 输 
和 种子 的 数值 相同 , 那 输出 的 结果 也 相同 ,并 且 种 子 能 够 产生 全 部 的 比特 流 。 

图 4.11 显示 出 基于 应 用 的 两 种 不 同形 式 的 伪 随 机 数 发 生 器 。 

伪 随 机 数 发 生 器 : 一 种 算法 被 用 来 产生 一 个 开路 型 比特 流 被 称 为 PRNG。 一 个 开路 
型 比特 流 的 常见 应 用 是 作为 输入 端 来 输入 对 称 的 密码 流 。 

伪 随 机 函数 (PRF): PRF 被 用 来 生产 一 些 固定 长 度 的 伪 随 机 比特 串 。 例 如 对 称 的 加 
密 密 钥 。 典 型 的 PRF 采用 种 子 加 上 上 下 文中 特定 的 值 作为 输入 端 ,例如 用 户 名 ID。 
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除了 产生 的 比特 数 不 同 外 ,PRNG 和 PRF 之 间 没 有 区 别 。 相 同 的 算法 能 被 双方 所 应 
用 ,两 者 都 需要 一 个 种 子 , 并 且 双 方 都 必须 呈现 出 随机 性 和 不 可 预测 性 。 

近年 来 ,密码 PRNG 的 随机 算法 设计 已 经 成 为 许多 研究 中 的 研究 对 象 ,并 且 已 经 发 
展 成 一 个 更 加 多 样 性 的 算法 。 除 了 一 些 特定 设计 的 随机 算法 外 ,还 可 以 使 用 加 密 算法 作 
为 随机 算法 的 核心 ,因为 密码 算法 可 以 起 到 一 个 随机 输入 的 作用 ,例如 使 用 对 称 加 密 算 
法 、 散 列 函 数 等 。 


4.4 分 组 密码 的 工作 模式 


分 组 密码 是 将 消息 分 成 固定 长 度 的 数据 块 (分 组 ) 来 逐 块 处 理 的 ,通常 ,大 多 数 消息 的 
长 度 都 大 于 分 组 密码 的 分 组 长 度 ,长 的 消息 被 分 成 一 系列 连续 排列 的 分 组 后 ,分 组 密码 算 
法 一 次 处 理 一 个 分 组 。 于 是 ,在 实际 应 用 中 ,人 们 设计 了 许多 不 同 的 块 处 理 方式 , 称 为 分 
组 密码 的 工作 模式 。 

工作 模式 通常 是 基本 的 密码 模块 .反馈 和 一 些 简单 运算 的 组 合 , 从 本 质 上 说 ,工作 模 
式 是 一 项 使 密码 算法 适应 实际 应 用 的 应 用 技术 。 工 作 模式 的 运算 应 当 简 单 ,不 会 明显 降 
低 基 本 密码 的 效率 ,并 易于 实现 。 同 时 工作 模式 不 应 当 损害 基本 密码 算法 的 安全 人 性。 

NIST 在 FIPS81 中 定义 了 四 种 工作 模式 ,后 来 由 于 新 的 应 用 和 要 求 ,在 800-38A 中 
将 推荐 的 工作 模式 扩展 为 五 种 ,这 五 种 情况 ,希望 能 够 覆盖 利用 一 个 分 组 密码 做 加 密 的 所 
有 可 能 情况 。 这 五 种 情况 也 希望 能 适用 于 任何 分 组 密码 算法 ,当然 包括 3DES 和 AES。 
表 4. 10 对 这 五 种 工作 模式 进行 了 概括 ,后 面 将 对 其 中 几 种 最 重要 的 模式 简要 介绍 。 

表 4.10 分 组 密码 的 工作 模式 


模 式 描 述 奥 型 应 用 
电子 密码 本 (ECB) | 用 相同 的 密 钥 分 别 对 明文 分 组 加 密 。 ”| 单个 数据 的 安全 传输 (如 一 个 密 钥 ) 
加 密 算法 的 输入 是 上 一 个 密 文 分 组 和 | (1) 普通 目的 的 面向 分 组 的 传输 
密码 分 组 链接 (CBC) | 下 一 个 明文 分 组 的 异 或 (2) 认证 (鉴别 ) 
二 次 处 理 ] 位 ,上 一 分 组 密 文 作为 加 密 , 
密码 反馈 (CFB) | 算法 的 输入 ,产生 一 个 伪 随 机 数 输 出 与 nit 
密 文 异 或 作为 下 一 个 分 组 的 输入 
与 CFB 基本 相同 ,只 是 加 密 算法 的 输入 | 噪声 信道 上 的 数据 流 的 传输 (如 卫 
输出 反馈 (OFB) | 是 上 一 次 加 密 的 输出 星 通信 ) 
每 个 明文 分 组 都 与 一 个 加 密 计数 器 相 | (1) 普通 目的 的 面向 分 组 的 传输 
异 或 。 对 每 个 后 续 分 组 计数 器 递增 | (2) 用 于 高 速 需求 


4.4.1 ECB 模式 


ECB(Electronic Code Book, 电 子 密码 本 模式 ) 是 最 简单 的 一 种 分 组 加 密 模式 ,之 所 
以 使 用 术语 密码 本 ,是 因为 对 于 给 定 的 密 钥 ,每 个 b 比特 的 明文 分 组 对 应 唯一 的 密 文 。 
此 ,可 以 想象 一 个 庞大 的 密码 本 , 它 包 含 任何 可 能 的 b 比特 明文 对 应 的 密 文 。ECB 模式 
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如 图 4. 12 所 示 。 


Pp 户 se | Pp, Go G 本 c, 
? 了 国 区 
KE KE KE| -lp -|D| -Dp 
1 1 1 1 
本 G EG Pl [z Pp, 
(a) ECB 模 式 加 密 (b) ECB 模 式 解密 
图 4.12 ECB 模 式 
即 
Ci 一 已 (Pi) 


Pi:=D(C), 1l1<i<n 

这 里 Pi、Ci、K 是 分 别 为 明文 分 组 、 密 文 分 组 和 密 钥 。n 为 分 组 的 个 数 。E( ),D( ) 分 
别 为 加 密 函 数 和 解密 函数 。 

ECB 的 优点 是 简单 高 效 ,可 以 实现 并 行 操作 。ECB 有 良好 的 差错 控制 ,一 个 密 文 分 
组 (或 明文 分 组 ) 的 改变 ,在 解密 (或 加 密 ) 时 ,只 会 引起 相应 的 明文 分 组 (或 密 文 分 组 ) 的 改 
变 , 不 会 影响 其 他 明文 分 组 (或 密 文 分 组 ) 的 改变 。 

ECB 的 最 大 特性 是 明文 中 相同 的 分 组 在 密 文 也 是 相同 的 。 这 也 是 其 缺点 ,因为 这 样 
在 加 密 长 消息 时 ,敌手 可 能 得 到 多 个 明文 密 文 对 ,进行 已 知 明文 攻击 。 如 果 明 文中 有 一 些 
重复 的 元 素 , 那 么 这 些 元 素 可 能 被 破译 者 识别 ,这 也 许 能 帮助 破译 ,或 者 可 能 给 替换 或 者 
重 排 数 据 分 组 提供 了 机 会 。 因 此 ,ECB 特别 适合 加 密 数 据 随机 且 较 短 的 情形 ,如 加 密 一 
个 会 话 密 钥 。 

为 了 克服 ECB 的 安全 不 足 ,我 们 希望 有 一 种 技术 ,其 中 如 果 重 复出 现 同一 明文 分 组 ， 
则 将 产生 不 同 的 密 文 分 组 。 


4.4.2 ”CBC 模式 


为 避免 ECB 中 的 安全 缺陷 ,可 以 引入 某 些 反馈 机 制 , 例 如 将 前 一 个 分 组 的 加 密 结果 
反馈 到 当前 分 组 的 加 密 中 。 这 样 ,每 个 密 文 分 组 不 仅 依赖 于 产生 它 的 明文 分 组 ,也 依赖 于 
所 有 前 面 的 明文 分 组 ,从 而 相同 的 明文 分 组 对 应 的 密 文 分 组 不 同 。 

但 是 ,简单 地 引入 反馈 ,如 果 两 个 消息 前 面部 分 的 明文 分 组 全 部 相同 , 则 密 文 也 还 是 
会 出 现 相同 的 前 面部 分 , 即 密 文 的 不 同 是 从 明文 中 首次 出 现 不 同 的 位 置 开始 的 。 为 了 使 
得 加 密 的 结果 一 开始 就 出 现 不 同 , 或 者 说 使 得 相同 的 消息 也 有 不 同 的 密 文 ,引入 了 初始 向 
量 (Initial Vector,IV)。1IV 的 不 同 ,使 得 相同 的 消息 有 不 同 的 密 文 。 在 CBC 模式 (Cipher 
Block Chaining ,密码 分 组 链接 模式 ) 中 ,加 密 算 法 的 输入 是 当前 明文 分 组 与 前 一 密 文 分 组 
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的 异 或 ,每 个 分 组 使 用 同一 密 钥 。CBC 模式 如 图 4. 13 所 示 。 


Pn 已 Ci 3 G 
vy -0 9 -0 | 
大 天 再 
站。 万 到 | E 还 。| E “ILD a ~L2 
站 区 | 区 Pi | Pp, 二 Pp, 
(a) CBC 异 式 加 密 (b) CBC 模 式 解 密 
图 4.13 CBC 模式 


即 
C = E(Pi@®Cn) 
B= D(C OE Le 人 ew 

发 送 者 和 接收 者 都 必须 知道 IV, 为 了 提高 安全 性 ,通常 IV 应 该 加 以 保密 ,例如 传输 时 
用 ECB 加 密 来 保护 IV。 和 否则 ,中 间 截 获 者 可 以 通过 改变 IV, 来 改变 第 一 个 明文 分 组 的 解密 
值 ,因为 解密 时 ,有 P =IVGC' .中间 截获 者 修改 IV 的 某 一 位 ,可 以 改变 已 中 的 相应 位 。 

由 于 引入 了 反馈 机 制 ,因而 一 个 分 组 的 错误 将 有 可 能 对 其 他 分 组 造成 影响 。 这 种 一 个 
错误 导致 多 个 错误 的 现象 叫 错误 扩散 。 错 误 扩 散 可 分 为 明文 错误 扩散 (加 密 错 误 扩散 ) 和 密 
文 错误 扩散 (解密 错误 扩散 )。 明 文 错误 扩散 指 加 密 前 明文 中 的 错误 对 解密 后 得 到 的 明文 的 
影响 。 密 文 错误 扩散 是 指 加 密 后 密 文 中 的 错误 对 解密 后 得 到 的 明文 分 组 的 影响 。 

那 CBC 是 否 有 明文 错误 扩散 和 密 文 错误 扩散 ? 使 用 CBC 时 ,虽然 明文 分 组 中 发 生 的 
错误 将 影响 对 应 的 密 文 分 组 以 及 其 后 的 所 有 密 文 分 组 , 当 由 于 解密 会 反 转 这 个 过 程 ,所 以 解 
密 后 的 明文 也 仍然 只 是 那 一 个 分 组 有 错误 。 因 而 ,CBC 没有 明文 错误 扩散 。 由 于 信道 噪声 
或 存储 介质 的 损害 ,接收 方 得 到 的 密 文中 某 个 分 组 出 现 错误 ,该 错误 的 分 组 只 会 影响 对 应 的 
解密 明文 的 分 组 ,以 及 其 后 的 一 个 解密 明文 的 分 组 。 因 此 ,CBC 的 密 文 错误 扩散 是 很 小 的 。 

同 EBC 一 样 ,CBC 不 能 自动 恢复 同步 错误 。 如 果 密 文中 偶尔 丢失 或 添加 一 些 数 据 
位 ,那么 整个 密 文 序列 将 不 能 正确 地 解密 ,除非 能 够 重新 恢复 分 组 的 边界 。 如 果 密 文中 有 
一 位 发 生 错 误 , 只 会 影响 到 当前 分 组 和 下 一 分 组 的 明文 。 

CBC 对 于 加 密 长 于 64 比特 的 消息 非常 合适 。 另 外 ,CBC 除了 能 获得 保密 性 外 ,还 能 
用 于 认证 (鉴别 ) 。 


4.4.3 CFB 模式 
EBC 和 CBC 都 必须 将 一 个 分 组 接收 完 才能 进行 加 解密 ,如 DES 而 言 ,需要 等 64 比 


特 全 接收 完 才 能 开始 加 密 。 有 时 候 需 要 实时 的 加 密 , 如 网 络 环境 中 , 当 终 端 输入 一 个 字 
符 ,需要 马上 加 密 传 给 主机 ,这 时 需要 使 用 流 密码 。 使 用 CFB 模式 (Cipher Feedback, 密 
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码 反馈 模式 ) ,可 以 将 分 组 密码 转变 为 流 密 码 ,实现 实时 操作 , 变 成 面向 字符 的 流 密 码 工作 


模式 。 流 密码 的 一 个 特性 是 密 文 与 明文 长 度 相等 ,因此 ,如 果 传 输 8 比特 的 字符 ,每 个 字 
符 应 该 加 密 为 8 比特 。 如 果 使 用 超过 8 比特 的 字符 进行 加 密 , 传 输 能 力 就 被 浪费 了 。 
与 CBC 一 样 ,引入 反馈 机 制 ,CFB 的 密 文 块 是 前 面 所 有 明文 块 的 函数 。CFB 模式 如 


图 4.14 所 示 。 
一 一 一 移 位 寄存 器 | 一 一 一 移 位 寄存 器 | 
7 
d | a i 
| ’ 四 1 2 2 
.RE | a K qd pa 2 
LL 1! ! a 
d T 1 fi Ea 
1 | Be a 
选 前 s 位 pet 选 前 s 位 
1 下 区 
Ss 1 了 这 六 
1 1 
(《 ) ~ | 
Pi 六 人 上 6 3 5 ? 
(a) CFB 模 式 加 密 (b) CFB 模 式 解密 
图 4.14 CFB 模 式 


即 加 密 过 程 为 : 
K; = Ex(rgstin) 
C:= Pi:©@ KLs] (rgsto = IV, 1<i<n) 
rgsti = {rgsti <<, || C;} 
这 里 ,rgsti-1(1 二 i<n) 表 示 移 位 寄存 器 保存 的 值 ,<<<, 表示 左 移 : 位 。 其 实 ,分 组 


加 密 Ex 实质 上 起 到 生成 密 钥 流 的 作用 ,每 次 密 钥 流 (K;. 一 个 分 组 ) 生 成 后 ,选择 前 s 比 
特 (用 ;Ls] 表 示 ) 进 行 加 密 , 产 生 的 密 文 C; 作为 反馈 ,添加 到 移 位 寄存 器 尾部 ,这 里 假设 
寄存 器 长 度 和 加 密 算法 输入 一 样 长 ,显然 |Ci| 二 s。 
解密 过 程 如 下 : 
K; = Exk(rgsti1) 
P=C@KLs(es = 1<iRn 


rgst; = {rgsti <<, || C;} 
值得 注意 的 是 ,解密 时 将 收 到 的 密 文 单元 与 加 密 函 数 Ex 的 输出 进行 异 或 ,这 里 仍然 
使 用 加 密 函 数 Ex ,而 不 是 解密 函数 。 原 因 是 加 密 函 数 只 起 密 钥 产生 的 作用 , 故 解密 时 还 


是 使 用 加 密 函 数 。 
4.4.4 ”CTR 模式 

CTR 模式 (计数 器 模式 ) 在 IPSec 和 ATM( 异 步 转换 模式 ) 网 络 安全 中 发 挥 了 重要 作 

用 。 如 图 4. 15 所 示 ,计数器 长 度 与 明文 分 组 长 度 相 同 ,加 密 不 同 明文 分 组 所 用 的 计数 器 
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值 必须 不 同 ,以 使 得 相同 的 明文 分 组 有 不 同 的 密 文 分 组 。 从 本 质 上 说 ,CTR 模式 就 是 使 
用 计数 器 产生 密 钥 流 加 密 明文 。 


下 
K E KE | 


(a) CTR 模 式 加 窗 (b) CTR 模 式 解 密 
图 4.15 CTR 模式 


即 加 密 过 程 为 : 
K; = Ex (CTR;) 
C=P@OK, l1<i<n 
解密 过 程 为 : 
Ki = Ex(CTR) 
P=C@K, l1<i<n 

一 个 简单 的 使 CTR; 不 同 的 方法 是 : 

CTR, = CTR- 十 1， 2<i<n 
CTR 具有 以 下 优点 : 

(1) CTR 可 以 并 行 ,效率 高 。CBC 和 CFB 的 模式 都 不 能 并 行 ,必须 依次 执行 ,因此 
CTR 具有 较 高 软件 和 硬件 效率 。 并 行 性 也 意味 着 密 文 间 的 独立 性 ,这 意味 着 可 以 处 理 某 
个 分 组 的 密 文 使 得 随机 访问 某 个 明文 分 组 。 

(2) 可 以 预 处 理 。 加 密 算法 的 执行 不 需要 明文 或 密 文 的 输入 , 密 钥 流 可 以 事先 准备 ， 
只 要 有 足够 的 存储 器 ,这 可 以 极 大 提高 吞吐 量 。 

(3) 简单 性 。 和 CFB 一 样 ,不 需要 分 组 密码 的 解密 算法 ,只 需要 加 密 算法 ,这 对 某 些 
加 密 和 解密 不 同 的 分 组 加 密 算法 (如 AES) 而 言 ,是 有 优势 的 。 

(4) 可 证 明 的 安全 性 。 密 码 学 知识 能 够 证 明 CTR 至 少 和 在 本 章 中 被 讨论 的 其 他 模 
式 一 样 安全 。 

另外 ,还 有 一 些 模式 是 多 个 模式 的 组 合 使 用 ,如 CCM 模式 是 CTR 模式 用 于 加 密 ， 
CBC 模式 用 于 认证 (鉴别 ?的 组 合 使 用 。 


习题 
1. 分 组 密码 和 流 密码 的 区 别 是 什么 ? 


2. 简 述 对 称 密码 的 优 缺 点 。 
3. DES 是 什么 ? 
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4. 解释 DES 算法 中 S 盒 的 作用 和 工作 原理 。 在 Si 盒 中 , 若 输 入 011001, 输 出 为 


5. DES 的 安全 性 存在 不 足 的 原因 是 什么 ? 
6. 三 重 DES 中 ,第 二 次 使 用 的 是 解密 运算 (D) ,而 不 是 加 密 运 算 (E) ,原因 是 什么 ? 
7. 解释 AES 的 总 体 加 密 流程 。 
8. 为 什么 说 在 网 络 安全 应 用 程序 加 密 的 过 程 中 ,随机 数 起 了 非常 重要 的 作用 ? 

9. 什么 是 ECB 模式 ? 在 ECB 中 ,如 果 同 一 长 度 的 明文 分 组 在 消息 中 出 现 不 止 一 
次 ,会 产生 相同 的 密 文 吗 ? 为 什么 ? 

10. 密码 分 组 链接 模式 (CBC) 是 一 种 重要 的 分 组 密码 工作 模式 ,请 回答 以 下 问题 : 

(1) 简 述 CBC 的 工作 过 程 。 

(2) CBC 会 传播 错误 ,例如 ,在 网 络 传输 的 过 程 中 ,传输 的 密 文 C, (如 图 4. 13 所 示 ) 
发 生 了 错误 ,显然 会 影响 明文 P 和 P, 的 解密 。 除 了 P, 和 P, 之 外 ,还 有 其 他 分 组 受 影响 
吗 ? 为 什么 ? 

(3) 假设 在 Pi 的 原文 中 有 1 比特 错误 ,此 错误 会 传播 多 少 密 文 分 组 ? 接收 端 解密 时 
所 受到 的 影响 是 什么 ? 
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第 5 章 公 铜 密码 
5.1 简介 


前 面 介绍 了 传统 密码 体制 中 的 对 称 加 密 体制 ,本 章 要 讲述 另 一 种 重要 的 密 钥 体 
制 一 一 公 钥 密码 体制 。 公 钥 密 码 学 的 发 展 是 整个 密码 学 发 展 历史 中 最 伟大 的 一 次 革命 ， 
也 许可 以 说 是 唯一 的 一 次 革命 。 在 公 钥 密码 体制 产生 和 应 用 之 前 的 整个 密码 学 史 中 , 所 
有 的 密码 算法 基本 上 都 是 基于 代 换 和 置换 这 两 个 基本 工具 的 。 几 千年 来 ,对 算法 的 研究 
主要 是 通过 手工 计算 来 完成 的 。 随 着 转 轮 加 密 /解密 机 器 的 出 现 , 传 统 密码 学 有 了 很 大 进 
展 , 利 用 电子 机 械 转 轮 可 以 开发 出 极其 复杂 的 加 密 系统 ,利用 计算 机 甚至 可 以 设计 出 更 加 
复杂 的 系统 ,最 著名 的 就 是 数据 加 密 标准 DES。 转 轮机 和 DES 是 密码 学 发 展 的 重要 标 
志 , 但 它们 都 基于 代 换 和 置换 这 些 初等 方法 之 上 。 

而 公 钥 密码 学 与 以 前 的 密码 学 完全 不 同 。 公 和 钥 密 码 的 发 展 提供 了 新 的 理论 和 技术 基 
础 ,同时 也 是 密码 学 发 展 的 新 的 里 程 碑 。 算 法 的 基本 工具 突破 传统 的 代 换 和 置换 , 公 钥 密 
码 使 用 的 基本 工具 是 数学 函数 ; 另 一 方面 公 钥 密码 是 非 对 称 的 ,使 用 两 个 独立 的 密 钥 , 两 
个 密 钥 的 使 用 对 机 密 性 、 密 钥 分 配 、 数 字 签 名 等 都 有 划时代 的 意义 。 

公 钥 密码 体制 的 概念 是 在 解决 对 称 密码 体制 中 最 难 解决 的 两 个 问题 时 提出 的 ,这 两 
个 问题 是 密码 分 配 和 数字 签名 。 

对 称 密 码 体制 在 进行 密 钥 分 配 时 ,要求 通信 双方 或 者 已 经 有 一 个 共享 的 密 钥 ,或 者 可 
以 借助 一 个 密 钥 分 配 中 心 来 分 配 密 钥 。 对 前 者 的 要 求 ,常常 可 用 人 工 方式 传送 双方 最 初 
共享 的 密 钥 ,但 是 这 种 方法 成 本 很 高 ,而 且 还 要 依赖 于 通信 过 程 的 可 靠 性 ,这 同样 是 一 个 
安全 隐患 ,对 于 第 二 个 要 求 则 完全 依赖 于 密 钥 分 配 中 心 的 可 靠 性 ,同时 密 钥 中 心 往往 需要 
很 大 的 存储 容量 来 处 理 大 量 的 密 钥 。 

第 二 个 问题 数字 签名 考虑 的 是 如 何 为 数字 化 的 消息 或 文件 提供 一 种 类 似 于 为 书面 文 
件 手写 签字 的 方法 。 这 个 对 于 对 称 密码 体制 是 一 个 非常 难以 解决 的 问题 。 而 随 着 社会 的 
发 展 ,尤其 电子 商务 的 发 展 ,数字 签名 问题 必须 得 到 好 的 解决 。W. Diffie 和 M. Hellman 
为 解决 上 述 两 个 问题 ,从 而 提出 了 公 钥 密码 体制 。 

公 钥 密码 是 密码 学 上 的 重大 突破 ,但 初学 者 会 对 公 钥 密码 有 一 些 误解 ,这 里 先 提前 说 
明 。 一 种 误解 是 ,从 密码 分 析 的 角度 看 , 公 钥 密码 比 传统 密码 更 安全 。 事 实 上 ,任何 加 密 
方法 的 安全 人 性 依赖 于 密 钥 的 长 度 和 破译 密 文 所 需要 的 计算 量 。 从 抗 密码 分 析 的 角度 看 ， 
原则 上 不 能 说 传统 密码 优 于 公 钥 密码 ,也 不 能 说 公 钥 密码 优 于 传统 密码 。 

第 二 种 误解 是 , 公 钥 密码 是 一 种 通用 的 方法 ,所 以 传统 密码 已 经 过 时 。 其 实 正 相反 ， 
由 于 现 有 的 公 钥 密码 方法 所 需 的 计算 量 大 ,所 以 取代 传统 密码 似乎 不 太 可 能 。 就 像 公 钥 
密码 的 发 明 者 之 一 W. Diffie 所 说 的 :… 公 钥 密 码 学 仅 限于 用 在 密 钥 管理 和 签名 这 类 应 用 
中 ,这 几乎 是 已 被 广泛 接受 的 事实 。” 
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最 后 一 种 误解 是 ,传统 密码 中 与 密 钥 分 配 中 心 的 握手 是 一 件 异 常 麻烦 的 事情 ,与 之 相 
比 ,用 公 钥 密码 实现 密 钥 分 配 则 非常 简单 。 事 实 上 ,使 用 公 钥 密码 也 需要 某 种 形式 的 协 
议 ,该 协议 通常 包含 一 个 中 心 代 理 ,并 且 它 所 包含 的 处 理 过 程 既 不 比 传统 密码 中 的 那些 过 
程 更 简单 ,也 不 比 之 更 有 效 。 

本 章 先 介绍 公 钥 密码 设计 的 基本 思想 与 概念 ,接着 介绍 Diffie-Hellman 密 钥 分 配 协 
议 , 虽 然 该 协议 不 是 一 个 公 钥 密码 的 加 解密 算法 ,但 很 多 人 认为 它 是 公 钥 密码 思想 的 起 
源 , 它 是 密码 学 中 一 个 惊人 的 成 就 ;然后 讨论 RSA 算法 , 它 是 目前 公 钥 密码 中 最 重要 的 一 
种 切实 可 行 的 加 解密 算法 ,该 算法 的 作者 也 因此 获得 计算 机 理论 研究 的 最 高 奖项 一 一 图 
灵 奖 ;最 后 我 们 介绍 椭圆 曲线 密码 算法 的 一 些 知识 ,该 领域 是 公 钥 密码 研究 的 一 个 热点 。 


5.1.1 公 钥 密码 体制 的 设计 原理 


公 钥 密码 算法 的 最 重要 的 特点 是 采用 两 个 相关 的 密 钥 将 加 密 与 解密 能 力 分 开 , 其 中 
一 个 密 钥 是 公开 的 , 称 为 公开 密 钥 ,用 来 加 密 ; 另 一 个 密 钥 是 为 用 户 专用 ,是 保密 的 , 称 为 
私有 密 钥 , 用 于 解密 。 加 密 和 解密 使 用 的 密 钥 是 不 同 的 ,因此 公 钥 密码 体制 也 称 为 双 钥 密 
码 体制 。 公 钥 密 码 算法 的 重要 特性 : 已 知 密码 算法 和 加 密 密 钥 ,想得到 解密 密 钥 在 计算 
上 是 不 可 行 的 。 

图 5. 1 是 公 钥 体制 加 密 的 框图 ,加 密 过 程 主要 有 以 下 几 步 : 


“| 密码 分 析 员 | 
( 匀 听 者 ) SKe 。 


发 送 者 A | 《| 解密 算法 模块 一 - 接收 者 B 上 一 


PKe 


图 5.1 公 钥 体制 加 密 的 框图 


(1) 系统 中 要 求 接收 消息 的 端 系 统 , 产 生 一 对 用 来 加 密 和 解密 的 密 钥 ,如 图 中 的 接收 
者 B, 需 要 产生 一 对 密 钥 PKs ，SKs ,其 中 PKs 是 公 钥 ,SKs 是 私 钥 。 

(2) 端 系统 B 将 公 钥 PKs 放 在 一 个 公开 的 寄存 器 或 文件 中 ,通常 放 入 存放 密 钥 的 密 
钥 中 心中 。 另 一 私 钥 SKs 则 被 用 户 保存 。 

(3) A 如 果 要 想 向 B 发送 消 息 mw, 则 首先 必须 得 到 并 使 用 B 的 公 钥 PKs 加 密 mm, 表 
示 为 

c= 下 pku Lm] 

其 中 c 是 密 文 ,E 是 加 密 算法 。 


86 


第 5 章 


(4) B 收 到 A 的 加 密 密 文 c 后 ,用 自己 的 私 钥 SKs 解密 得 到 明文 信息 ,表示 为 
二 Dsrs Le] 
其 中 D 是 解密 算法 。 

因为 整个 过 程 中 只 有 B 知道 SKs ,所 以 其 他 人 都 无 法 对 c 解密 ,从 而 信息 得 到 机 密 性 
保护 。 作 为 密码 分 析 员 可 以 观察 到 密 文 c 并 且 可 以 得 到 公 钥 PKa ,但 是 他 不 能 访问 私 钥 
SKs 或 者 明文 m, 所 以 密码 分 析 者 的 目的 是 恢复 私 钥 SKs 或 者 明文 m。 如 果 密 码 分 析 者 
知道 加 密 (E) 和 人 解密 (D) 算 法 ,如 果 他 只 关心 m 这 一 个 明文 消息 ,那么 他 会 集中 精力 试图 
通过 生成 明文 估计 值 来 恢复 交 。 但 是 通常 密码 分 析 者 也 希望 能 获得 其 他 消息 ,所 以 他 会 
试图 破解 私 钥 SKs 。 

公 钥 密码 不 仅 能 用 于 保密 通信 ,还 可 以 提供 不 可 否认 性 ,这 一 点 是 对 称 密码 由 于 自身 
特点 而 无 法 实现 的 。 

首先 解释 一 下 不 可 否认 ,在 使 用 对 称 密码 保护 的 情况 下 ,假设 A 从 她 的 股票 经 纪 人 
B 处 订购 了 100 股 股 票 , 为 了 保护 订单 的 机 密 性 和 完整 性 ,A 使 用 共享 对 称 密 钥 Kap 加 
密 , 假 设 A 下 了 订单 不 久 后 并 在 向 B 付 钱 之 前 ,股票 暴跌 90%。 这 时 A 宣布 她 从 没有 下 
过 订单 ,也 就 是 说 A 否认 了 这 笔 交 易 。 

那么 B 能 否 证 实 A 曾经 下 过 订单 呢 , 不 ,他 不 能 。 因 为 B 也 知道 对 称 密 钥 玉 As ,他 可 
以 假冒 A 在 订单 上 放置 伪造 的 消息 。 因 此 尽管 B 知道 A 确实 下 了 订单 ,但 是 却 不 能 证 明 
这 一 点 。 如 何 防止 A 否认 这 笔 交 易 呢 , 可 以 使 用 数字 签名 ,数字 签名 就 是 通过 某 种 密码 
运算 生成 一 系列 符号 及 代码 组 成 电子 密码 进行 签名 ,来 代替 书写 签名 或 印章 ,对 于 这 种 电 
子 签 名 还 可 进行 技术 验证 。 

公 钥 密码 可 以 实现 数字 签名 ,信息 发 送 者 可 使 用 公 钥 密码 产生 别人 无 法 伪造 的 一 段 
数据 串 。 事 实 上 ,确保 数据 机 密 性 只 是 公 钥 体系 的 用 途 之 一 , 它 还 有 一 个 非常 重要 的 用 途 
就 是 对 信息 进行 数字 签名 ,防止 信息 发 送 者 抵赖 或 第 三 方 冒充 发 送 者 发 送信 息 。 对 称 加 
密 算 法 不 能 实现 这 个 功能 , 那 为 什么 公开 加 密 机 制 可 以 实现 此 功能 呢 ? 很 简单 ,还 是 使 用 
了 “ 公 钥 加 密 , 只 有 私 钥 能 解密 ; 私 钥 加 密 ,只 有 公 钥 能 解密 ”的 原理 。 

发 送 者 用 自己 的 私 钥 加 密 数据 后 传 给 接收 者 ,接收 者 用 发 送 者 的 公 钥 解 开 数据 后 ,就 
可 以 确定 消息 来 自 于 谁 ,同时 也 是 对 发 送 者 发 送 的 信息 的 真实 性 的 一 个 证 明 ,发 送 者 对 所 
发 信息 不 可 否认。 如 图 5. 2 所 示 ,用户 A 用 自己 的 私 钥 SKA 对 明文 m 进行 加 密 , 过 程 表 
示 为 

c= Esx, Lm] 
将 密 文 c 发 送 给 B。B 用 A 提供 的 公 钥 PKA 对 c 进行 解密 ,该 过 程 可 以 表示 为 
m 一 Der, [Le] 
因为 从 m 得 到 ce 是 经 过 A 的 私 钥 SKA 加 密 , 也 只 有 A 才能 做 到 ,因此 < 可 以 当做 
A 对 m 的 数字 签名 。 另 一 方面 .任何 人 只 要 得 不 到 A 的 私 钥 SKa 就 不 能 自 改 w, 所 以 以 
上 过 程 实现 了 对 消息 来 源 和 消息 完整 性 的 认证 功能 。 

在 这 个 数字 签名 的 过 程 中 ,发 送 者 使 用 私 钥 加 密实 现 签名 的 功能 ,接收 者 使 用 公 钥 解 
密实 现 验证 的 功能 ,这 与 前 面 提 到 的 加 密 过 程 相反 ,使 用 公 钥 密码 加 密 时 ,发 送 者 使 用 公 
钥 加 密 , 接 收 者 使 用 私 钥 解 密 。 在 许多 公 钥 算法 中 ,两 个 密 钥 中 任何 一 个 都 可 用 来 加 密 ， 
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发 送 者 A ~ 加 密 算法 模块 | 解密 算法 模块 一 一 接收 者 B 人 


PKA 


图 5.2 公 钥 密码 体制 数字 签名 原理 框图 


而 另 一 个 用 来 解密 ,可 分 别 实现 加 解密 和 数字 签名 的 功能 。 

在 实际 应 用 中 ,特别 是 在 用 户 数量 很 多 的 时 候 , 以 上 数字 签名 方法 需要 很 大 的 存储 空 
间 来 存储 密 钥 ,因为 每 个 文件 都 必须 以 明文 形式 存储 ,以 便于 实际 使 用 ,同时 还 必须 存储 
每 个 文件 被 加 密 后 的 密 文 形式 即 数字 签名 ,以 便 在 有 争议 时 用 来 认证 文件 的 来 源 和 内 容 。 
解决 这 个 问题 的 一 个 有 效 途 径 是 减少 文件 的 数字 签名 的 大 小 ,可 以 将 文件 经 一 个 散 列 函 
数 压缩 成 长 度 较 小 的 比特 串 , 这 个 比特 串 称 为 认证 符 。 对 文件 的 任何 修改 必然 会 引起 认 
证 符 的 变化 。 一 般 来 讲 认证 符 具有 这 样 一 个 性 质 ， 如 果 保 持 认 证 符 的 值 不 变 而 修改 文 
件 ,这 在 计算 上 是 不 可 行 的 。 用 发 送 者 的 私 钥 对 认证 符 加 密 , 加 密 后 的 结果 为 原文 件 的 数 

在 以 上 数字 签名 过 程 中 ,由 于 消息 是 由 用 户 自 己 的 私 钥 加 密 的 ,所 以 消息 不 可 能 被 他 
人 得 改 ,但 却 能 很 容易 被 他 人 窃听 ,这 是 由 于 任何 人 都 能 使 用 用 户 的 公 钥 对 消息 解密 , 因 
此 为 了 同时 提供 认证 功能 和 保密 性 ,可 采用 双重 加 、 解 密 。 原 理 图 如 图 5. 3 所 示 。 


Zz | 钥 寅 委 | 
~ 好生 | 接收 者 B 


发 送 者 A 


5.3 公 钥 密码 体制 的 认证 、 保 密 原理 图 


发 送 方 首先 用 自己 的 私 钥 SKA 对 消息 m 进行 加 密 , 用 于 提供 数字 签名 功能 。 然 后 用 
接收 方 的 公 钥 PKs 进行 第 二 次 加 密 操作 ,表示 为 c 二 Enks[LEsk,[z]] ,解密 过 程 为 m = 
Dpr, LDsxs [cj] , 即 接收 方 用 自己 的 私 钥 和 发 送 方 的 公 钥 对 收 到 的 密 文 进 行 两 次 解密 
操作 。 

一 般 来 讲 公 钥 加 密 算 法 应 满足 以 下 几 点 基本 要 求 : 
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(1) 接收 方 B 产生 密 钥 对 ( 公 钥 PKs 和 私 钥 SKs ) 是 很 容易 计算 得 到 的 。 

(2) 发 送 方 A 用 收 到 的 公 钥 对 消息 m 加 密 以 产生 密 文 c, 即 c 二 Epk, [Lm] ,很 容易 通 
过 计算 得 到 。 

(3) 接收 方 B 用 自己 的 私 钥 对 密 文 c< 解 密 , 即 m 二 Dsx, [cj 在 计算 上 是 容易 的 。 

(4) 密码 分 析 者 或 者 攻击 者 由 B 的 公 钥 PKs 求 私 钥 SKs 在 计算 上 是 不 可 行 的 。 

(5) 密码 分 析 者 或 者 攻击 者 由 密 文 c 和 B 的 公 钥 PKs 恢复 明文 m 在 计算 上 是 不 可 
行 的 。 
(6) 加密、 解密 操作 的 次 序 可 以 互 换 , 也 就 是 Epxr, [Dsxs (mm)] 二 Dsxs LEpk, (zz)] 。 

以 上 要 求 中 最 后 一 条 虽然 非常 有 用 ,但 是 并 不 是 对 所 有 算法 都 有 此 要 求 。 

以 上 要 求 的 本 质 之 处 实际 上 是 要 求 一 个 陷 门 单 向 函数 。 所 谓 陷 门 单 向 函数 是 两 个 集 
合 X 了 之 间 的 一 个 映射 ,使 得 Y 中 每 一 元 素 y 都 有 唯一 的 一 个 原 像 z E X ,上 且 由 工 易 于 
计算 它 的 像 y。 但 是 由 y 计算 它 的 原 像 x 计算 上 是 不 可 行 的 。 这 里 所 说 的 易于 计算 是 指 
函数 值 能 在 其 输入 长 度 的 多 项 式 时 间 内 求 出 , 即 如 果 输 入 长 n 比特 , 则 求 函数 值 的 计算 时 
间 是 we 的 某 个 倍数 ,其 中 a 是 一 个 固定 常数 。 这 时 认为 求 函数 值 的 算法 属于 可 计算 , 否 
则 就 是 不 可 行 的 。 注 意 这 里 的 可 计算 和 不 可 行 两 个 概念 与 计算 复杂 性 理论 中 复杂 度 的 概 
念 非常 相似 ,同时 存在 着 本 质 的 区 别 。 在 复杂 性 理论 中 ,算法 复杂 度 是 用 算法 在 最 坏 的 情 
况 下 或 平均 情况 时 的 复杂 度 来 度量 的 。 而 这 里 所 说 的 两 个 概念 是 指 算法 在 几乎 所 有 情况 
下 的 情景 。 称 一 个 函数 是 陷 门 单 向 函数 ,是 指 该 函数 是 易于 计算 的 ,但 求 它 的 逆 过 程 是 不 
可 行 的 ,除非 再 已 知 某 些 附 加 信息 的 前 提 。 当 附加 信息 给 定 后 。 求 逆 可 在 一 定时 间 内 

所 以 总 结 为 : 陷 门 单 向 函数 是 一 族 可 道 函 数 fi ,但 是 满足 以 下 3 个 条 件 : 

()Y= fi(X) 易于 计算 ( 当 k 和 XX 已 知 时 )。 

(2) X = fr1(Y) 易于 计算 ( 当 & 和 了 已 知 时 ) 。 

(3) X = (Y) 计算 上 是 不 可 行 的 ( 当 Y 已 知 但 k& 未知 时 )。 


5.1.2 公 钥 密码 分 析 


和 对 称 密 码 一 样 , 公 钥 密码 也 易 受 穷 举 攻击 ,其 解决 方法 也 是 使 用 长 密 钥 。 但 同时 也 
应 考虑 使 用 长 密 钥 的 利弊 , 公 钥 体制 使 用 的 是 某 种 可 逆 的 数学 函数 ,计算 琢 数值 的 复杂 性 
可 能 不 是 密 钥 长 度 的 线性 函数 ,而 是 比 线性 函数 增长 更 快 的 函数 。 因 此 ,为 了 抗 穷 举 攻 
击 , 密 钥 必 须 足 够 长 ;同时 为 了 便于 实现 加 密 和 解密 , 密 钥 必须 足够 短 。 在 实际 中 ,现在 使 
用 的 密 钥 长 度 确实 可 以 抗 穷 举 攻击 ,但 是 它 也 使 加 密 / 解 密 速度 太 慢 ,所 以 公 钥 密码 目前 
主要 用 于 密 钥 管理 和 签名 中 。 

对 公 钥 密码 的 另 一 种 攻击 方法 是 , 找 出 一 种 给 定 的 公 钥 计算 出 私 钥 的 方法 。 到 目前 
为 止 ,还 未 在 数学 上 证 明 对 一 特定 公 钥 算法 这 种 攻击 是 不 可 行 的 ,所 以 包括 已 被 广泛 使 用 
的 RSA 在 内 的 任何 算法 都 是 值得 怀疑 的 。 密 码 分 析 的 历史 表明 ,同一 个 问题 从 一 个 角度 
看 是 不 可 解 的 ,但 从 另 一 个 不 同 的 角度 来 看 则 可 能 是 可 解 的 。 

最 后 ,还 有 一 种 攻击 形式 是 公 钥 体制 中 所 特有 的 ,这 种 攻击 本 质 上 就 是 对 消息 的 穷 举 
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攻击 。 例 如 ,假定 要 发 送 的 消息 是 56 位 的 DES 密 钥 ,那么 攻击 者 可 以 用 公 钥 对 所 有 可 能 
的 密 钥 加 密 ,并 与 传送 的 密 文 匹配 ,从 而 可 破解 任何 消息 。 因 此 ,无 论 公 钥 体 制 的 密 钥 有 
多 长 ,这 种 攻击 都 可 以 转化 为 对 56 位 密 钥 的 穷 举 攻击 。 对 抗 这 种 攻击 的 方法 是 ,在 要 发 
送 的 消息 后 附加 上 一 个 随机 数 。 


5.2 Diffie-Hellman 密 钥 交换 


1976 年 ,Whitfield Diffie 和 Martin Hellman 在 《密码 学 的 新 方向 ) 一 文中 提出 了 著 
名 的 Diffie-Hellman 密 钥 交 换算 法 ,标志 着 公 钥 密码 体制 的 出 现 。Diffie 和 Hellman 第 
一 次 提出 了 不 需要 使 用 保密 信道 就 可 以 安全 分 发 对 称 密 钥 ,这 就 是 Diffie-Hellman 算法 
的 重大 意义 所 在 。 不 仅 如 此 , 公 钥 加 密 本 身 就 是 一 个 重大 创新 ,因为 它 从 根本 上 改变 了 加 
密 和 解密 的 过 程 。 

密 钥 交 换 问题 是 对 称 加 密 的 难题 之 一 ,Diffie-Hellman 密 钥 交 换算 法 可 以 有 效 地 解 
决 这 个 问题 。 这 个 机 制 的 巧妙 在 于 需要 安全 通信 的 双方 可 以 用 这 个 方法 确定 对 称 密 钥 。 
然后 可 以 用 这 个 密 钥 进 行 加 密 和 解密 。 但 是 注意 ,这 个 密 钥 交换 算法 只 能 用 于 密 钥 的 交 
换 , 而 不 能 进行 消息 的 加 密 和 解密 。 双 方 确定 要 用 的 密 钥 后 , 则 使 用 该 密 钥 用 某 种 对 称 加 
密 算法 实现 加 密 和 解密 消息 。 

要 注意 的 是 ,Diffie-Hellman 密 钥 交 换算 法 不 是 一 种 加 密 算法 ,只 是 一 种 能 使 双方 共 
享 的 对 称 密 钥 不 需要 在 网 络 上 传递 的 算法 。Diffie-Hellman 算法 第 一 次 尝试 了 不 需要 基 
于 保密 信道 的 密 钥 分 发 , 它 的 目的 是 使 两 个 用 户 在 公共 网 络 平台 上 安全 地 交换 一 个 对 称 
密 钥 ,以 便 用 于 随后 的 报 文 加密 。 算 法 本 身 局 限于 密 钥 交换 用 途 ,而 不 能 实现 加 密 和 数字 
签名 。Diffie-Hellman 算法 的 吸引 力主 要 在 于 对 称 密 钥 只 在 需要 的 时 候 才 会 进行 计算 ， 
之 前 密 钥 不 需要 保存 ,所 以 不 会 有 泄密 的 危险 。 其 次 , 它 也 不 需要 PKI 的 支持 , 除 对 全 局 
参数 的 约定 外 , 密 钥 交换 不 需要 事先 存在 的 任何 条 件 。 所 以 目前 许多 商业 产品 还 在 使 用 
这 种 密 钥 交换 技术 ,如 SSL、IPSec 等 。 

Diffie-Hellman 算法 的 安全 性 建立 在 离散 对 数 问题 的 计算 困难 性 之 上 。 假 定 给 定 g 
和 zx 二 g* ,那么 为 了 求解 需要 进行 通常 的 对 数 运算 logs(z) 。 现 在 给 定 g.p 和 
g*modp ,求解 上 的 问题 与 对 数 问题 类 似 ,不 同 的 是 进行 的 是 离散 值 的 计算 ,这 个 问题 称 
为 离散 对 数 。 尽 管 同 因子 分 解 一 样 未 被 证 明 是 NP 完全 问题 ,求解 离散 对 数 问题 也 是 非 
常 困难 的 。 简 而 言 之 ,可 以 如 下 定义 离散 对 数 : 首先 定义 一 个 素数 p 的 原 根 ,为 其 各 次 客 
产生 从 1 一 5 一 1 的 所 有 整数 根 ,也 就 是 说 ,如 果 a 是 素数 p 的 一 个 原 根 ,那么 数值 

amod py, azmodp ,ai lmod 户 
是 各 不 相同 的 整数 ,并 且 以 某 种 排列 方式 组 成 了 1~p 一 1 的 所 有 整数 。 
对 于 一 个 整数 5 和 素数 p 的 一 个 原 根 a, 可 以 找到 唯一 的 指数 i, 使 得 
b=a' mod p, 0<i<(p—1) 
指数 i 称 为 b 的 以 a 为 基数 的 模 p 的 离散 对 数 。 该 值 被 记 为 ind, ,, (5)。 
基于 此 背景 知识 ,可 以 定义 Diffie-Hellman 密 钥 交换 算法 。 该 算法 描述 如 下 : 
(1) 有 两 个 全 局 公开 的 参数 ,一 个 素数 g 和 一 个 整数 a ,a 是 g 的 一 个 原 根 。 
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(2) 设 用 户 A 和 B 希望 交换 一 个 密 钥 , 用 户 A 选择 一 个 作为 私有 密 钥 的 随机 数 
Xs 二 q, 并 计算 公开 密 钥 Ys 二 a*s mod g。A 对 Xs 的 值 保密 存放 而 使 YA 能 被 B 公开 获 
得 。 类 似 地 ,用 户 B 选择 一 个 私有 的 随机 数 Xs 二 g, 并 计算 公开 密 钥 Ys 二 a*s mod g。 
B 对 Xs 的 值 保密 存放 而 使 Ys 能 被 A 公开 获得 。 

(3) 用 户 A 产生 共享 对 称 密 钥 的 计算 方式 是 K 二 (Ys)* mod g。 同 样 ,用 户 B 产 生 
共享 对 称 密 钥 的 计算 是 KK 二 (Y、) 和 3 mod g。 这 两 个 计算 产生 相同 的 结果 (根据 取 模 运算 
规则 得 到 ) : 

K= (Yes)*s modg 


= (axs mod g)** modg 


(Caxs)xA modg 


= a*sXs mod g 


(a*a)*s modg 


(Caxa mod g)*s modg 
= (Ya)*s modg 
因此 相当 于 双方 已 经 交换 了 一 个 相同 的 对 称 密 钥 。 

(4) 因为 XA 和 Xs 是 保密 的 ,一 个 攻击 方 可 以 利用 的 参数 只 有 ga、Ys 和 Ys。 因 此 
攻击 方 被 迫 求 离 散 对 数 来 确定 用 户 私 钥 。 例 如 ,要 获取 用 户 B 的 对 称 密 钥 , 攻 击 方 必 须 
先 计算 

X= tins) 

然后 他 才 可 以 像 用 户 B 那 样 计算 出 对 称 密 钥 KK。 

下 面 给 出 的 例子 中 ,素数 g 二 97 和 它 的 一 个 原 根 a 二 5,A 和 B 分 别 选择 私 钥 XA 王 36 
和 Xs 二 58, 并 计算 相应 的 公 

YA 二 5%* mod 97 王 50(A 计算 ) 
Ys 二 5% mod 97 一 44(B 计算 ) 
A 和 了 BB 交 换 公 钥 后 ,双方 均 可 单独 计算 出 对 称 密 钥 开 : 
K=(Ys)*s mod 97 一 443 mod 97 一 75(A 计算 ) 
开 一 (YA)xa mod 97 一 508 mod 97 二 75(B 计算 ) 

我 们 假定 攻击 者 能 够 得 到 下 列 信息 : gq 二 97,4a 一 5,Ys 二 50,Ys 一 44。 在 这 个 简单 的 
例子 中 ,用 穷 举 攻击 确定 K 二 75 是 可 能 的 。 但 当 所 有 数字 都 足够 大 时 ,上 述 攻击 方法 实 
际 是 不 可 行 的 ,即使 使 用 大 型 的 并 行 机 也 是 如 此 。 

假设 用 户 A 想 要 建立 与 用 户 B 之 间 的 连接 ,并 安全 地 在 A 和 B 双方 之 间 生 成 一 个 
共享 的 对 称 密 钥 ,用 该 密 钥 对 A 和 B 之 间 传 递 的 消息 进行 加 密 。Diffie-Hellman 密 钥 交 
换算 法 就 可 以 实现 这 一 功能 , 它 的 实现 原理 如 图 5.4 所 示 。 

(1) 用 户 A 生成 私 钥 XA ,计算 出 公 钥 YA ,将 YA 发 送 给 用 户 B。 

(2) 用 户 了 生成 私 钥 Xe ,计算 出 公 钥 Ys, 将 Ys 发 送 给 用 户 A。 

(3) 通过 公开 的 参数 g 和 a ,用 户 A 和 B 就 能 各 自分 别 计算 出 完全 相同 的 对 称 密 钥 
KK ,从 而 达到 密 钥 交换 目的 。 

Diffie-Hellman 算法 中 使 用 的 计算 公式 都 是 单 向 函数 ,其 逆 运 算 就 是 求解 离散 对 数 
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全 局 公开 的 参数 4 、w， 其 中 


4: 素数 
a: a<q 且 a 是 q 的 一 个 原 根 


产生 随机 的 XA<9g 产生 随机 的 Xn<g 


计算 : 计算 : 
,=a modg Ye=a*rmodg 
K=(Yp* modg K=(Y,Y modg 


图 5.4 Diffie-Hellman 密 钥 交换 


问题 ,所 以 具有 难 解 性 。 这 样 黑客 由 ga 和 截获 的 公 钥 Y/Ys 并 不 能 得 到 A 和 了 B 的 私 钥 
Xa/Xs。 即 使 由 截获 的 大 量 密 文 破解 了 本 次 天, 由 天 .dg 和 截获 的 公 钥 Y/Ys ,也 不 能 得 
到 A 和 也 的 私 钥 XA/Xe。 

然而 Diffie-Hellman 算法 也 存在 一 些 不 足 : 

(1) 没有 提供 双方 身份 的 任何 信息 ,容易 遭受 中 间 人 攻击 。 

(2) 它 是 计算 密集 型 的 ,因此 容易 遭受 拒绝 服务 攻击 , 即 攻击 者 请 求 大量 的 密 钥 ,被 
攻击 者 花费 了 相当 多 的 计算 资源 来 求解 无 用 的 寡 系 数 而 不 是 在 做 真正 的 工作 。 

(3) 没 办 法 防止 重 放 攻击 。 

在 Diffie-Hellman 密 钥 交换 算法 中 ,并 没有 把 通信 双方 的 身份 包含 进去 , 即 它 不 能 鉴 
别 通 信 双 方 的 身份 ,所 以 非常 容易 遭受 中 间 人 攻击 。 中 间 人 攻击 过 程 如 图 5.5 所 示 。 


素数 gq 和 原 根 a 


发 送 给 


一 B 但 被 C 戴 获 | C 发 送 K 给 B 一 -， 
用 户 A “| 用 PC 上 用 户 B 


C 发 送 下 给 A 发 送 甩 给 
A 但 被 C 截 获 


1 本 
计算 A、C 会 话 的 对 称 密 钥 人 > 计算 B 、C 会 话 的 对 称 密 钥 K 
图 5.5 中 间 人 攻击 示意 图 


(1) B 在 给 A 的 报 文中 发 送 他 的 公 钥 Ya 。 

(2) C 截获 Ys 保存 下 来 并 给 A 发 送 报 文 , 该 报 文具 有 B 的 用 户 ID 但 使 用 C 的 公 钥 
Yc , 仍 按照 好 像 是 来 自己 的 样子 被 发 送出 去 。A 收 到 C 的 报 文 后 ,将 Yc 和 B 的 用 户 ID 
存储 在 一 块 。 类 似 地 ,C 使 用 Yc 向 也 发 送 好 像 来 自 A 的 报 文 。 

(3) B 基 于 私 钥 Xs 和 Yc 计算 对 称 密 钥 K, 。A 基于 私 钥 Xa。 和 Yc 计算 对 称 密 钥 
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K;。C 使 用 私 钥 Xc 和 Ys 计算 Ki ,并 使 用 私 钥 Xc 和 YA 计算 K;。 

(4) 从 现在 开始 ,C 就 可 以 转发 A 发 给 B 的 报 文 或 转发 BB 发 给 A 的 报 文 ,在 途中 根据 需 
要 修改 。 使 得 A 和 也 都 不 知道 它们 是 在 和 C 直接 通信 ,它们 之 间 的 通信 都 是 通过 C 中 转 的 。 

如 何 防止 中 间 人 攻击 呢 ? 这 里 有 很 多 种 方法 ,包括 : 

(1) 使 用 共享 的 对 称 密 钥 加 密 Diffie-Hellman 交换 。 

(2) 使 用 公 钥 加 密 Diffie-Hellman 交换 。 

(3) 使 用 私 钥 签名 Diffie-Hellman 交换 。 

你 或 许 会 奇怪 为 什么 已 经 有 了 共享 的 对 称 密 钥 (方法 1) 或 者 密 钥 对 (方法 2 和 方法 
3) ,还 会 使 用 Diffie-Hellman 建立 对 称 密 钥 。 这 是 个 很 好 的 问题 ,在 后 面 有 关 网 络 安全 协 
议 的 章节 中 会 有 所 介绍 。 

OAKLEY 算法 是 对 Diffie-Hellman 密 钥 交 换算 法 的 改进 , 它 保留 了 后 者 的 优点 , 同 
时 克服 了 其 弱点 。OAKLEY 算法 具有 五 个 重要 特征 : 

(1) 它 采 用 64 位 随机 的 cookie 的 机 制 来 对 抗拒 绝 服务 攻击 。cookie 是 为 双方 提供 
一 种 较 弱 的 源 地 址 认证 ,cookie 交换 可 以 在 它 执行 协议 中 复杂 的 运算 (大 整数 求 乘 寡 ) 之 
前 完成 。 如 果 源 地 址 是 伪造 的 , 则 攻击 者 不 能 得 到 该 cookie, 也 就 不 能 攻击 成 功 。 

(2) 它 使 得 双方 能 够 协商 一 个 全 局 参数 ,基本 上 与 Diffie-Hellman 的 全 局 参数 一 样 。 

(3) 它 增 加 了 “现时 ”机 制 来 抗 重 放 攻击 。 

(4) 它 能 够 交换 Diffie-Hellman 的 公开 密 钥 。 

(5) 它 对 Diffie-Hellman 中 公 钥 的 交换 进行 了 认证 ,所 以 能 够 认证 交换 中 双方 的 身 
份 以 抵抗 中 间 人 攻击 。 


5.3 RSA 


MIT 的 Ron Rivest，Adi Shamir 和 Len Adleman 于 1977 年 提出 并 于 1978 年 首次 
发 表 一 种 用 数论 构造 的 RSA 算法 ,可 以 说 是 最 早 提 出 的 满足 要 求 的 公 钥 算法 之 一 , 它 是 
迄今 为 止 在 理论 上 最 为 成 熟 完善 的 公 钥 密 码 体制 ,该 体制 已 经 得 到 广泛 的 应 用 和 实践 。 

RSA 的 明文 和 密 文 均 是 0~n 一 1 之 间 的 整数 ,通常 的 大 小 为 1024 位 二 进 制 数 或 
309 位 十 进 制 数 ,也 就 是 说 ,小 于 2 。 本 节 将 详细 讨论 RSA 算法 ,首先 给 出 算法 描述 ， 
然后 讨论 RSA 算法 的 计算 问题 和 安全 性 问题 。 


5.3.1 算法 描述 


1. RSA 算法 的 密 钥 的 产生 


(1) 选 两 个 保密 的 大 素数 p 和 g。 

(2) 计算 n= 二 =pXg,pln) = (p 一 1D)(g 一 1), 其 中 y(n) 是 的 欧 拉 函数 值 。 

(3) 选 一 整数 e, 满 足 1 二 e 二 p(n), 有 征 gcd (g(n),e)= 二 1。 

(4) 计算 d ,满足 de 二 1mod p(n), 即 d 是 e 在 模 gp(n) 下 的 乘法 道 元 ,因为 e 与 p(n) 
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互 素 , 由 模 运算 可 知 , 它 的 乘法 逆 元 一 定 存在 。 
(5) 以 {e,n) 为 公 钥 ,{d,n) 为 私 钥 。 


2. RSA 算法 的 加 密 
(1) 将 明文 比特 串 分 组 ,使 得 每 个 分 组 对 应 的 十 进 制 数 小 于 n, 即 分 组 长 度 小 于 


logsn。 
(2) 对 每 个 明文 分 组 ,做 加 密 运算 : 


c=mmodn 
3. RSA 算法 的 解密 
对 密 文 分 组 的 解密 运算 为 : 


m= cimodn 
下 面 将 证 明 RSA 算法 中 解密 过 程 的 正确 性 (相关 的 运算 参见 有 关 数 论 书籍 ) 。 
证 明 : 从 加 密 过 程 知 c 二 mmod n ,所 以 


cmodn 三 m*modn 三 m™? modn==me" Hmodn 


以 下 分 为 两 种 情况 : 
(1) 当 m 和 nn 互 素 时 , 则 由 Euler 定理 : 
m=lmodn, hy =1lmodn, m*"N=mmodn 


即 cimod nm。 

(2) 当 gcd(m,n) 关 1 时 , 先 看 gcd(m,n) 二 1 的 含义 ,由 于 nn 二 pq, 所 以 gcd(m,n) 一 
1 ,这 意味 着 m 不 是 p 的 倍数 也 不 是 g 的 倍数 ,因此 gcd(m.n) 隆 1 意味 着 m 是 p 的 倍数 
或 者 是 g 的 倍数 ,假设 m==cp, 其 中 < 为 一 个 正 整 数 。 此 时 必 有 gcd(m,9) 二 1, 否 则 mm 也 
是 g 的 倍数 ,从 而 是 pg 的 倍数 ,与 m 二 n 二 pq 矛盾 。 

由 gcd (m,n) 二 1 及 Euler 定理 得 m*? 三 1modg ,所 以 m*? 三 1modg，,[m*?]”? 三 
lmod gq ,mw 三 1mod g ,因此 存在 一 整数 ,使 得 me" == 1 十 rg ,两 边 同 时 乘 以 m 二 cp， 
得 

me = mt+rpg = m+tren 
也 即 
me 一 7 modn 
所 以 
cmodn=m 

例如 , 选 p=7,g=17, 求 n= 二 pXg= 119,9(n) = (p 一 1)(g 一 1) = 96。 取 e=5， 
满足 1 二 e 二 gO00), 且 gcd(y(m),e) 二 1。 确定 满足 dXe 二 lmod96 且 小 于 96 的 d, 因 为 
77X5 二 385 二 4X96 十 1, 所 以 d 为 77, 因 此 公 钥 为 15,119}, 密 钥 为 {77,119}。 设 明文 
妈 二 19, 则 由 加 密 过 程 得 密 文 为 

c 一 195mod 119 = 2476099 mod 119 = 66 


解密 为 
66"7 mod 119 = 19 


第 5 章 


5.3.2 RSA 算法 中 的 计算 问题 


1. 加 密 、 解 密 过 程 
RSA 的 加 密 、 解 密 过 程 都 是 求 一 个 整数 的 整数 次 震 , 然 后 取 模 。 如 果 按 其 含义 直接 


i 


计算 , 则 中 间 结 果 运 算 量 非常 大 ,有 可 能 超出 计算 机 所 允许 的 整数 取 值 范围 。 而 如 果 采 用 
模 运 算 的 性 质 : 


(aXb) modn=[(a modn)X(b modn)|] modn 
就 可 以 减 小 中 间 结 果 ; 再 来 考虑 如 何 提高 加 、 解 密 运算 中 指数 运算 的 有 效 性 。 例 如 , 求 
Zz， ,直接 计算 的 话 就 需要 做 15 次 乘法 ,然而 如 果 重 复 对 每 个 部 分 结果 做 平方 运算 , 即 求 
Zr sz , 则 需要 4 次 乘法 运算 就 可 以 了 。 
通常 , 求 a” 可 按 如 下 步骤 进行 ,其 中 a、m 是 正 整数 。 
首先 将 m 表示 为 二 进 制 形式 bi ,be ,… ,bo, 即 m= 二 >》)2'。 


bi #0 
因此 
a a = Tar 


bz¥0 
a”mod 7 = [IL 2 ]mod 7 一 [I [az mod n] 
bz0 bi#0 
然后 可 得 以 下 快速 指数 算法 : 
c=0;d 叶 1 
for i=k downto 0 do{ 
2Xc; 
d= (dXd) mod n; 
if b=1 then{ 
cctl; 
dd (dxa)mod n 
} 
} 


returnd 


其 中 d 是 中 间 结 果 。4 的 最 终 值 即 为 所 求 的 结果 。c 在 这 里 的 作用 是 用 来 表示 指数 
的 部 分 结果 。 它 的 终 值 即 为 指数 m,c 对 计算 结果 没有 任何 作用 ,算法 中 完全 可 将 之 
会 去 。 
例如 , 求 7 加 mod 561。 
将 560 表示 为 1000110000, 算 法 的 中 间 结 果 如 表 5.1 所 示 , 所 以 
75% mod 561 一 1 


公 


钥 密 码 
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表 5.1 快速 指数 算法 的 结果 


I 9 8 LA 6 5 4 3 2 } 0 

B 1 0 0 0 1 YL 0 0 0 0 

D 1 2 49 157 526 160 241 298 166 67 1 

C 0 1 2 4 8 17 35 70 140 280 560 
2. 密 钥 的 产生 


在 产生 密 钥 的 时 候 , 需 要 考虑 两 个 大 素数 pg 的 选取 ,以 及 e 的 选取 和 4d 的 计算 。 

因为 = 一 pg 在 密 钥 体制 中 是 公开 的 ,为 了 防止 密码 分 析 者 或 者 窃听 者 通过 穷 举 搜索 
发 现 p.q, 这 两 个 素数 应 是 在 一 个 足够 大 的 整数 集合 中 选取 的 大 数 , 因 此 如 何 有 效 地 选取 
大 素数 是 RSA 算法 中 第 一 个 需要 解决 的 问题 。 

寻找 大 素数 算法 一 般 是 首先 随机 选取 一 个 大 的 奇数 ,然后 用 素数 检验 算法 检验 这 一 个 
奇数 是 不 是 素数 ,如 果 不 是 就 重新 选取 ,重复 直到 找到 素数 为 止 。 素 数 检验 算法 通常 是 概率 
性 的 ,但 是 如 果 算法 被 多 次 重复 执行 ,而 且 每 次 执行 时 输入 不 同 的 参数 ,如 果 算 法 的 每 一 次 
检验 结果 都 认为 被 检验 的 数 是 素数 ,那么 就 可 以 比较 有 把 握 地 认为 被 检验 的 数 是 素数 。 

p,q 决定 后 ,下 一 个 需要 解决 的 问题 就 是 如 何 选 取 满 足 1 二 e 二 p(n) 和 gcd (Yo ve) 一 1 
的 e ,并 且 计 算 满 足 d4.e 三 1mod y(n) 的 d 。 这 一 问题 可 用 推广 的 Euclid 算法 来 设计 实 


5.3.3 RSA 的 安全 性 


RSA 的 安全 性 主要 是 基于 分 解 大 整数 的 困难 性 假定 ,之 所 以 为 假定 是 因为 至 今 在 理 
论 上 和 实践 中 还 未 能 证 明 分 解 大 整数 就 是 NP 问题 ,因为 也 许 还 存在 尚未 发 现 的 多 项 式 
时 间 分 解 算法 。 如 果 RSA 的 模 数 被 成 功 分解 为 pXg. 则 立即 获得 g(x) = (p 一 1)(g 一 1)， 
从 而 能 够 确定 e 模 p(n) 的 乘法 逆 元 d, 即 d = elmod p(n) ,因此 攻击 成 功 .那么 是 否 有 不 
通过 分 解 大 整数 的 其 他 攻击 途径 呢 ? 现 在 已 经 证 明 由 直接 确定 gq(n) 等 价 于 对 的 分 解 ， 
但 是 由 e 和 nn 直接 确定 4 也 不 比分 解 n 来 得 简单 容易 。 因 此 可 以 将 RSA 的 安全 性 考虑 集 
中 在 分 解 大 整数 的 问题 上 。 而 且 , 随 着 人 类 计算 能 力 的 不 断 提 高 ,原来 一 些 被 认为 不 可 能 
分 解 的 大 数 已 被 成 功 分 解 ,所 以 这 些 对 RSA 的 安全 性 构成 了 潜在 的 危险 ;对 于 大 整数 分 
解 的 威胁 除了 人 类 的 计算 能 力 外 ,同时 还 有 来 自分 解 算法 的 进一步 改进 ,将 来 可 能 还 有 更 
好 的 分 解 算法 ,因此 在 使 用 RSA 算法 时 对 其 密 钥 的 选取 要 特别 注意 其 大 小 。 目 前 估计 在 
未 来 一 段 比较 长 的 时 期 , 密 钥 长 度 介 于 1024 一 2048 比特 之 间 的 RSA 是 比较 安全 的 。 

为 了 保证 RSA 算法 的 安全 性 ,一 般 对 p 和 g 提出 以 下 要 求 : 

(1) p 和 g 的 长 度 相差 不 要 太 大 。 

(2) p 一 1 和 g 一 1 都 应 有 大 素 因 子 。 

(3) gcd(p 一 1,g 一 1) 应 小 。 

此 外 ,研究 结果 表明 ,如 果 e<n, 且 dw, 则 4d 能 被 很 容易 地 确定 。 


s.4 椭圆 曲线 密码 算法 


目前 大 多 数 使 用 公 钥 密码 学 进行 加 密 和 数字 签名 的 产品 和 标准 都 使 用 RSA 算法 。 
5. 3 节 已 经 介绍 过 ,为 了 进一步 提高 RSA 算法 的 安全 性 ,RSA 的 做 法 是 让 它 的 密 钥 长 度 
一 再 增 大 ,例如 信任 度 很 高 的 Verisign 数字 证 书 中 的 RSA 算法 使 用 2048 位 的 密 钥 。 但 
是 逐渐 增加 的 密 钥 长 度 使 得 它 的 运算 负担 越 来 越 大 。 而 相 比 之 下 ,椭圆 曲线 密码 算法 
(ECC) 采 用 短 得 多 的 密 钥 ,可 以 获得 更 高 的 安全 性 ,因此 ECC 具有 更 加 广泛 的 应 用 前 景 ， 
目前 ECC 已 被 IEEE 公 钥 密码 标准 P1363 采用 。 另 一 方面 ,虽然 关于 ECC 的 理论 已 很 
成 熟 ,但 直到 最 近 才 出 现 这 方面 的 产品 ,而 对 ECC 的 密码 分 析 的 兴趣 却 在 持续 不 断 ,因此 
ECC 的 可 信和 度 还 没有 RSA 高 。 

椭圆 曲线 并 不 是 一 个 特定 的 密码 系统 ,椭圆 曲线 只 是 为 公 钥 密码 需要 的 复杂 数学 运 
算 提 供 另 外 一 种 方案 ,例如 有 椭圆 曲线 版 本 的 Diffie-Hellman 算法 。ECC 比 RSA 或 
Diffie-Hellman 更 难 阐述 ,关于 ECC 的 完整 数学 描述 已 超过 本 书 的 范围 ,本 节 只 是 给 出 
有 关 椭 圆 曲 线 和 ECC 的 一 些 基 本 知识 ,让 读者 能 了 解 ECC 的 一 些 基本 思想 。 


5.4.1 椭圆 曲线 


椭圆 曲线 实际 上 并 非 完 全 是 椭圆 ,之 所 以 成 为 椭圆 曲线 主要 是 因为 它 的 曲线 方程 与 

计算 椭圆 周 长 的 方程 非常 类 似 , 椭 圆 曲 线 的 曲线 方程 式 一 般 是 以 下 形式 的 三 次 方程 
y+aryt+by = zx tcr:+drtie 
这 里 ab、c.d、e 是 实数 ,但 是 满足 某 些 简 单条 件 。 对 我 们 而 言 ,将 方程 限制 为 下 述 形式 就 
足够 了 : 
yy =z +artb 

因为 方程 中 的 指数 最 高 是 3, 所 以 称 为 三 次 yj 
方程 ,或 者 说 方程 的 次 数 为 3。 椭圆 曲线 的 
定义 中 还 包括 一 个 叫做 无 穷 点 或 者 零点 的 
元 素 , 记 为 0。 图 5. 6 是 一 个 椭圆 曲线 的 Pp 


R i 
下 面 是 椭 加 曲线 上 的 加 法 返 算 定义 : \ 


如 果 其 上 的 3 个 点 能 够 位 于 同一 直线 上 ， -> 

那么 它们 之 和 将 为 O。 因 此 可 以 定义 椭圆 

曲线 上 的 加 法 律 : 二 
(1) O 为 加 法 单位 元 ,也 就 是 对 椭圆 昌 一 | 0 LL = 

线 上 任 一 点 P, 有 P 十 0=P。 图 5.6 yz zx 

(2) 设 Pi 二 (zx,y) 是 椭圆 曲线 上 的 一 点 

图 5.6) , 它 的 加 法 逆 元 定义 为 : Ps 二 一 Pi 二 (x, 一 y) 

这 是 因为 P! 和 P; 的 连 线 延 长 到 无 穷 远 时 , 便 得 到 椭圆 曲线 上 另 一 点 O, 从 而 椭圆 


© 
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曲线 上 的 3 点 P,、P: 和 O 共 线 ,所 以 P;, 十 P: 十 O=0O,P, 十 P: 王 O= 二 P， P,。 由 
OO=O, 还 可 以 得 出 0= 一 0O。 

(3) 设 Q 和 尺 是 椭圆 曲线 上 xz 坐标 不 同 的 两 点 ,Q 十 R 可 以 定义 如 下 : 画 一 条 通过 
Q,R 的 直线 与 椭圆 曲线 交 于 P ,交点 应 该 是 唯一 的 ,除非 所 连 的 直线 是 Q@ 点 或 R 点 的 切 
线 , 此 时 分 别 取 Pi 一 Q,Pi 一 R, 由 Q 十 R 十 Pi 一 0 二 Q 十 R Pi 

(4) 点 Q 的 倍数 定义 如 下 : 在 Q 点 作 椭 圆 曲 线 的 一 条 切线 , 设 切 线 与 椭圆 曲线 交 于 
点 S 处 ,定义 2Q=Q+Q= 一 $。 类 似 地 可 以 定义 3Q= 二 Q 十 Q 十 Q, 等 等 。 

以 上 定义 的 加 法 都 具有 加 法 运算 的 一 般 性 质 ,如 交换 律 和 结合 律 等 。 


5.4.2 有 限 域 上 的 椭圆 曲线 


在 密码 中 ,有 限 域 上 的 椭圆 曲线 得 到 普遍 采用 。 有 限 域 上 的 椭圆 曲线 实际 上 是 指 上 
一 节 定 义 过 的 曲线 方程 ,所 有 的 系数 都 是 某 一 个 有 限 域 GF(p) 中 的 元 素 ,p 为 一 个 大 素 
数 ,其 中 最 为 常用 的 是 由 方程 

yz +ar+tb(mod p)(a,b € GFCp) ,4a’ +270 (mod p) 天 0) 

所 定义 的 曲线 。 

例如 ,P=23,a==6b=1, 4a3 十 275* (mod 23) 一 8 和 0 ,方程 为 y 二 x? 十 x 十 1 ,其 函 
数 图 形 实际 上 是 连续 的 曲线 ,如 图 5.7 所 示 。 然 而 主要 研究 的 是 曲线 在 第 一 象限 中 的 整 
数 点 。 设 Er(a,p) 表示 上 述 方程 所 定义 的 椭圆 曲线 上 的 点 集 {(z,y) 10 三 x 二 pp， 
0 达 y 二 pp})( 且 x,y 均 为 整数 ) 和 无 穷 远 点 O。 本 例 中 Ea(1,1) 可 以 由 表 5.2 给 出 ,但 是 表 


中 未 给 出 O。 
De 
6 
2 上 
oF 2 
-2 
-全 
= 人 6 
| 1 
只 < 0 1 2 3 4 


图 5.7 y= 二 zz 十 x 十 1 的 曲线 


一 般 来 说 , E,(a,5) 由 如 下 步骤 产生 : 首先 对 于 每 一 个 (0 三 zx 二 p 且 x 为 整数 ), 计 
算 zi 十 ar 十 b(mod p) ;然后 决定 求 得 的 值 在 模 p 下 是 否 存 在 平方 根 ,如 果 不 存 在 , 则 曲 
线 上 就 没有 与 这 一 zx 相对 应 的 点 。 如 果 存 在 , 则 求 出 两 个 平方 根 (y=0 时 只 有 一 个 平 
方 根 ) 。 


表 5.2 椭圆 曲线 上 的 点 集 Ess (1,1) 


(0,1) (0,22) (1,7) (1,16) (3,10) (3,13) (4,0) (5,4) (5,19) 


(6,4) (6,19) (7,11) (7,12) (9,7) (9,16) (11,3) | (11,20) (12,4) 


(12,19) (13,7) (13,16) (17,3) (17,20) (18,3) (18,20) (19,5) (19,18) 


下 面 给 E,(a,5) 上 的 加 法 定义 。 

设 P,Qe BO , 则 OP+O= P;@O 如 果 P = (xz,y), 那 么 (zx,y) 十 (zx, 一 y) = 二 0， 
即 (z, 一 y) 是 P 的 加 法 道 元 ,表示 为 一 P。 从 E,(a,b) 的 产生 方式 可 以 得 知 ,一 P 也 是 
E,(a,b) 中 的 点 ,如 上 例 中 ,P= (13,7) € Es(1;,1), 一 P= (13, 一 7); 而 一 7 mod 23 
16, 所 以 一 P= (13,16), 也 在 Ess(1,1) 中 .@ 设 P= (zy),Q= (zs,yz)，P 关 Q; 则 
了 十 Q = (zs,ys) 通过 以 下 规则 确定 


Xs 三 A — zx — Zz (mod p) 


ys 三 A(z1— x) — ymod p) 


其 中 ， 半 二 和 %。 耻 夫人 @ 
大 三 立 2 一 1 
3 十 a 才 三 而 
2 
例如 ,仍然 采用 Ezs(1,1) 为 例 , 设 P=(3,10),Q==(9,7), 则 
三 《二 有 一 三 了 三 
人 一 9 一 3 一 -了 三 llmod 23 


zi =11—3—9= 109=17mod23 
ys = 11(3—17)—10 164 = 20mod 23 
所 以 得 出 P 十 Q= (17,20) ,仍然 为 Ess(1,1) 中 的 点 。 
如 果 要 求 2P, 则 


3X3: 十 1 5 1 
2x10 20 

Xs =6:—3—3= 30=7mod23 

yy 一 6(3 一 7) 一 10 34 12mod 23 


A 


6mod 23 


所 以 2P=(7,12)。 

相 类 似 , 们 和 点 运算 仍然 可 以 定义 为 重复 加 法 .如 4P==P 十 P 十 P 十 P。 

通过 这 个 例子 可 以 看 出 ,加 法 运算 在 Ezs(1.1) 中 是 封闭 的 , 且 能 验证 它 还 能 满足 交 
换 律 ,实际 上 对 一 般 的 E,(a,5) ,可 证 明 其 上 的 加 法 运算 是 封闭 的 ,满足 交换 律 ,同样 也 
还 能 够 证 明 其 上 的 加 法 逆 元 运算 也 是 封闭 的 ,因此 E,(a,b) 是 一 个 阿 贝 尔 群 (Abel)。 许 
多 公 钥 密码 都 使 用 了 阿 贝 尔 群 ,例如 Diffie-Hellman 密码 交换 包含 若干 非 零 整数 对 素数 9 
的 取 模 运 算 ,通过 寡 运 算 来 产生 密 钥 ,其 中 寡 运 算 定 义 为 重复 相 乘 。 读 者 可 以 从 参考 文献 
中 阅读 阿 贝尔 群 的 相关 知识 。 


5.4.3 椭圆 曲线 上 的 密码 


为 了 将 椭圆 曲线 功能 用 于 构造 密码 体制 中 ,还 需要 找 出 椭圆 曲线 上 的 数学 困难 问题 。 
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在 椭圆 曲线 构成 的 阿 贝尔 群 E,(a,5) 上 考虑 方程 Q = AP ,这 里 要 求 P,Q € FE,(a,b)， 
上 二 P, 则 可 以 验证 由 名 和 PP 很 容易 得 到 Q, 但 是 相反 由 卫 .Q 求 & 则 是 非常 困难 的 ,这 就 
是 椭圆 曲线 的 离散 对 数 问题 ,这 个 问题 可 应 用 于 公 钥 密码 体制 。 Diffie-Hellman 密 钥 交换 
和 EIGamal 密码 体制 就 是 基于 有 限 域 上 离散 对 数 问题 的 公 钥 体制 。 下 面 主要 讲述 如 何 
用 椭圆 曲线 来 实现 Diffie-Hellman 密 钥 交换 处 理 过 程 : 

(1) 取 一 个 素数 p 守 2” 和 两 个 参数 a,5, 这 样 可 以 得 到 椭圆 曲线 及 其 上 面 的 点 所 构 
成 的 Abel 群 E, (a,5)。 

(2) 取 已 (a,0) 的 一 个 生成 元 GCz ,yi) ,要求 G 的 阶 是 一 个 非常 大 的 素数 ,G 的 阶 是 
满足 xnG = O 的 最 小 正 整 数 n。E,(a,6b) 和 G 作为 公开 参数 。 

两 个 用 户 A 和 B 之 间 的 密 钥 交 换 操作 可 以 按照 如 下 方式 进行 : 

(1) 用 户 A 首先 选取 一 个 整数 na (na 二 n) ,作为 秘密 钥 , 并 且 通 过 PA = naG 产生 
Ela,6) 上 的 一 点 用 来 作为 公开 钥 。 

(2) 用 户 B 也 采用 类 似 的 方法 选取 自己 的 秘密 钥 ns 和 公开 钥 Ps。 

(3) A 和 PB 分 别 由 K = naPs,K 二 nsPa 产生 出 双方 共享 的 对 称 密 钥 。 

这 样 做 是 因为 K = naPs = na(ngG) = ng(naG) = ngsPa。 

密 钥 分 析 者 或 者 攻击 者 如 果 想 获得 K, 则 必须 要 通过 PA 和 G 求 出 na, 或 由 Ps 和 
G 求 出 za ,这 就 需要 求解 椭圆 有 曲线 上 的 离散 对 数 ,因此 是 不 可 行 的 。 

同 基 于 有 限 域 上 离散 对 数 问 题 的 公 钥 体制 相 比 ,椭圆 曲线 密码 体制 有 如 下 几 个 优点 : 

(1) 其 安全 性 高 : 攻击 有 限 域 上 离散 对 数 问题 的 方法 有 指数 积分 法 ,其 运算 复杂 
度 为 O(exp Yog pj) (og log 5p)”) ,其 中 既是 模 数 ,又 是 素数 。 但 是 这 种 方法 对 椭 
圆 曲 线 的 离散 对 数 问题 并 不 有 效 。 目 前 攻击 椭圆 曲线 上 的 离散 对 数 问题 的 方法 只 有 适合 
攻击 任何 循环 群 上 离散 对 数 问题 的 大 步 小 步 法 , 这 种 方法 的 运算 复杂 度 为 
O(exp(log Vpm) ) ,其 中 pw 是 椭圆 曲线 所 形成 的 阿 贝尔 群 的 阶 的 最 大 素 因 子 , 所 以 
椭圆 曲线 密码 体制 比 基 于 有 限 域 上 的 离散 对 数 问题 的 公 钥 体制 更 安全 。 

(2) 它 的 密 钥 量 小 : 由 算法 复杂 度 可 知 ,在 相同 的 安全 性 能 条 件 下 ,椭圆 曲线 密码 体 
制 所 需要 的 密 钥 量 远 小 于 基于 有 限 域 上 的 离散 对 数 问 题 的 公 钥 体制 的 密 钥 量 。 

(3) 算法 灵活 性 好 : 在 有 限 域 GF(g) 一 定 的 情况 下 ,其 上 的 循环 群 就 定 了 ,而 GF (gq) 
上 的 椭圆 曲线 可 以 通过 改变 曲线 参数 ,能 够 得 到 不 同 的 曲线 ,从 而 形成 不 同 的 循环 群 。 
此 ,椭圆 曲线 具有 丰富 的 群 结构 和 多 选择 性 。 正 是 由 于 它 具 有 丰富 的 群 结构 和 多 选择 性 ， 
并 可 在 保持 和 RSA/DSA 体制 中 同样 安全 性 能 的 前 提 下 大 大 缩短 密 钥 的 长 度 ( 目 前 160 比 
特 足 以 保证 安全 性 ) ,因此 在 密码 领域 中 有 着 广阔 的 应 用 前 景 。 


习题 


1. 简 述 传统 对 称 密码 系统 和 公 钥 密码 系统 的 原理 区 别 和 两 者 的 优 缺点 , 公 钥 密码 系 
统 能 否 蔡 代 传统 的 对 称 密码 系统 。 


100| 


2. 考虑 公共 素数 g 二 11 和 原 根 a 二 2 的 Diffie-Hellman 方案 ,如 果 用 户 A 有 公 铀 
YA 一 9, 请 问 A 的 私 钥 XA 是 什么 ? 

3. Diffie-Hellman 密 钥 交换 时 会 被 中 间 人 攻击 ,请 给 出 中 间 人 攻击 的 方法 ,如 何 改 进 
Diffie-Hellman 算法 以 避免 中 间 人 攻击 ? 

4. 简 述 RSA 算法 保护 的 机 密 性 、 完 整 性 和 不 可 否认 性 的 原理 。 

5. 在 非 对 称 加 密 算法 RSA 中 ,假设 “大 ?素数 p= 二 5,g 二 11, 试 给 出 一 对 公 钥 和 私 钥 ， 
给 出 计算 过 程 。 

6. 请 编程 设计 RSA 算法 ,并 验证 上 题 结果 是 否 正 确 。 

7. 如 果 编 程 设计 RSA 算法 时 ,要 求 素 数 的 位 数 大 于 256 位 ,需要 考虑 哪些 和 大 数 有 
关 的 问题 ? 

8. 假设 Bob 使 用 模 n 很 大 的 RSA 加 密 系统 。 该 模 值 在 合理 的 时 间 内 不 能 进行 因 式 
分 解 。 假 设 Alice 给 Bob 发 送 一 条 把 每 个 字母 对 应 成 0 一 25 之 间 整 数 (A 一 0,…，,Z 一 25) 
的 消息 ,然后 使 用 具有 大 的 en 值 的 RSA 分 别 加 密 每 个 数 。 这 种 方法 安全 吗 ? 如 果 不 安 
全 ,给 出 对 这 种 加 密 方案 有 效 的 攻击 。 

9. 简要 比较 椭圆 曲线 密码 算法 和 RSA 算法 的 优 缺 点 ,如 计算 复杂 性 、 实 用 性 和 计算 
时 间 等 。 
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第 6 章 消息 认证 和 散 列 函数 


认证 包括 消息 认证 (message authentication) 和 身份 认证 (identification ) 。 

消息 认证 是 用 来 验证 消息 完整 性 的 一 种 机 制 或 服务 ,其 含义 是 一 个 “用 户 ” 检 验 他 收 
到 的 文件 是 否 遭 到 第 三 方 有 意 或 无 意 的 算 改 。 根 据 应 用 对 象 不 同 “ 用 户 ? 的 概念 可 以 是 
文件 的 接收 者 ,文件 的 阅读 者 一 个 程序 或 者 是 一 个 登录 设备 等 。 身 份 认证 是 让 验证 者 相 
信和 正在 与 之 通信 的 另 一 方 就 是 所 声称 的 那个 实体 ,身份 认证 的 目的 是 防止 伪装 。 本 章 主 
要 是 介绍 消息 认证 的 相关 内 容 , 身 份 认证 会 在 后 面 章 节 中 单独 介绍 。 

本 章 首 先 介 绍 对 消息 认证 和 数字 签名 的 要 求 以 及 可 能 遇 到 的 攻击 类 型 ,然后 介绍 消 
息 认证 码 、 安 全 散 列 函数 在 内 的 一 些 基本 认证 方法 。 安 全 散 列 函数 已 成 为 越 来 越 重 要 的 
研究 领域 ,本 章 讨论 一 些 常 见 的 散 列 函数 。 


6.1 对 认证 的 要 求 


在 网 络 通信 环境 中 ,可 能 有 下 述 攻击 : 

(1) 泄密 : 将 消息 透露 给 没有 合法 密 钥 的 任何 人 或 程序 。 

(2) 流量 分 析 : 分 析 通 信 双 方 的 通信 模式 。 在 面向 连接 的 应 用 中 ,确定 连接 的 频率 
和 持续 时 间 。 在 面向 连接 或 无 连接 的 环境 中 ,确定 双方 的 消息 数量 和 长 度 。 

(3) 伪装 : 欺诈 源 向 网 络 中 插入 一 条 消息 。 如 攻击 者 产生 一 条 消息 并 声称 这 条 消息 
是 来 自 某 合 法 实体 ,或 者 非 消 息 接收 方 发 送 的 关于 收 到 或 未 收 到 消息 的 欺诈 应 答 。 

(4) 内 容 修 改 : 对 消息 内 容 的 修改 ,包括 择 入、 删除、 转换 和 修改 。 

(5) 顺序 修改 : 对 通信 双方 消息 顺序 的 修改 ,包括 插入 、 删 除 和 重新 排序 。 

(6) 计时 修改 : 对 消息 的 延 时 和 重 放 。 在 面向 连接 的 应 用 中 ,整个 消息 序列 可 能 是 
前 面 某 合法 消息 序列 的 重 放 ,也 可 能 是 消息 序列 中 的 一 条 消息 被 延 时 或 重 放 ; 在 面向 无 连 
接 的 应 用 中 ,可 能 是 一 条 消息 (如 数据 报 ) 被 延 时 或 重 放 。 

(7) 发 送 方 否认 : 发 送 方 否认 发 送 过 某 消息 。 

(8) 接收 方 否认 : 接收 方 否认 接收 到 某 消息 。 

对 付 前 两 种 攻击 的 方法 属于 消息 保密 性 范畴 ,已 在 密码 学 部 分 讨论 了 消息 保密 性 ;对 
付 第 3 一 6 种 攻击 的 方法 一 般 称 为 消息 认证 ;对 付 第 7 种 攻击 的 方法 属于 数字 签名 。 一 般 
而 言 ,数字 签名 方法 也 能 够 抵抗 第 3 一 6 种 攻击 中 的 某 些 或 全 部 攻击 ,对 付 第 8 种 攻击 需 
要 使 用 数字 签名 和 为 抗 此 种 攻击 而 设计 的 协议 。 

归纳 起 来 ,消息 认证 就 是 验证 所 收 到 的 消息 确实 是 来 自 真正 的 发 送 方 且 未 被 修改 , 它 
也 可 验证 消息 的 顺序 和 及 时 性 。 数 字 签 名 也 是 一 种 认证 技术 ,其 中 的 一 些 方法 可 用 来 防 
止 发 送 方 否认 。 

任何 消息 认证 机 制 在 功能 上 基本 可 看 作 是 有 两 层 。 下 层 中 一 定 有 某 种 产生 认证 符 的 
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函数 ,认证 符 是 一 个 用 来 认证 消息 的 值 ; 上 层 协议 中 将 该 函数 作为 原 语 使 接收 方 可 以 验证 
消息 的 真实 性 。 

可 以 用 来 产生 认证 符 的 函数 类 型 可 以 分 为 如 下 三 类 : 

(1) 消息 加 密 : 整个 消息 的 密 文 作为 认证 符 。 

(2) 消息 认证 码 : 它 是 消息 和 密 钥 的 函数 , 它 产 生 定 长 的 值 , 以 该 值 作为 认证 符 。 

(3) 散 列 函数 : 它 是 将 任意 长 的 消息 映射 为 定 长 的 散 列 值 的 函数 ,以 该 散 列 值 作为 
认证 符 。 

消息 加 密 本 身 提 供 了 一 种 认证 手段 。 考 虑 一 个 使 用 传统 对 称 加 密 的 简单 例子 ,如 
图 6. 1 所 示 。 


源 A 宿 B 
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图 6.1 对 称 加 密 : 加 密 与 消息 认证 


发 送 方 A 用 A 和 B 共 享 的 对 称 密 钥 K 对 发 送 到 接收 方 B 的 消息 M 加 密 ,如 果 没 有 
其 他 方 知道 该 密 钥 ,那么 可 提供 保密 性 ,因为 任何 其 他 方 均 不 能 恢复 出 消息 明文 。 

同时 B 可 确信 该 消息 是 由 A 产生 的 。 为 什么 呢 ? 因为 除 B 外 只 有 和 A 拥 有 天 ,A 能 
产生 出 用 天 可 解密 的 密 文 ,所 以 该 消息 一 定 来 自 A。 由 于 攻击 者 不 知道 密 钥 , 他 也 就 不 
知 如 何 改变 密 文中 的 信息 位 才能 在 明文 中 产生 预期 的 改变 ,因此 ,车 BB 可 以 恢复 出 明文 ， 
则 B 可 以 认为 M 中 的 每 一 位 都 未 被 改变 。 所 以 可 以 说 ,对 称 密码 既 可 以 提供 保密 性 ,又 
可 以 提供 认证 功能 。 

加 密 算 法 已 经 在 前 面 章节 有 所 介绍 ,本 章 重点 介绍 另外 两 类 认证 方法 : 消息 认证 码 
和 安全 散 列 函 数 。 


6.2 消息 认证 码 


消息 认证 码 , 又 称 MAC(Message Authentication Code) ,是 一 种 消息 认证 技术 , 它 利 
用 密 钥 来 生成 一 个 固定 长 度 的 短 数 据 块 , 并 将 该 数据 块 附加 在 消息 之 后 。 在 这 种 方法 中 
假定 通信 双方 ,例如 A 和 也 ,共享 密 钥 开 。 若 A 向 B 发 送 消息 时 , 则 A 计算 MAC, 它 是 
消息 和 密 钥 的 函数 , 即 MAC 二 CCK ,MD ,其 中 ,M 为 输入 消息 ,C 为 MAC 函数 ,K 为 共享 
的 密 钥 ,MAC 为 消息 认证 码 。 

消息 和 MAC 一 起 被 发 送 给 接收 方 。 接 收 方 对 收 到 的 消息 用 相同 的 密 钥 进行 相同 的 
计算 得 出 新 MAC, 并 将 接收 到 的 MAC 与 其 计算 出 的 MAC 进行 比较 ,如 图 6.2 所 示 。 

如 果 只 有 收发 双方 知道 该 密 钥 . 且 接 收 到 的 MAC 与 计算 得 出 的 MAC 相等 , 则 : 

(1) 接收 方 可 以 相信 消息 未 被 修改 。 如 果 攻 击 者 改变 了 消息 ,但 他 无 法 改变 相应 的 
MAC ,所 以 接收 方 计算 出 的 将 不 等 于 接收 到 的 MAC。 假定 攻击 者 不 知道 密 钥 ,所 以 他 不 
知道 如 何 改变 MAC 才能 使 其 与 修改 后 的 消息 相 一 致 。 
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(2) 接收 方 可 以 相信 消息 来 自 真正 的 发 送 方 。 因 为 其 他 各 方 均 不 知道 密 钥 , 因 此 他 
们 不 能 产生 具有 正确 MAC 的 消息 。 

(3) 如 果 消 息 中 含有 序列 号 (如 HDLC,X. 25 和 TCP 中 使 用 的 序列 号 ) ,那么 接收 方 
可 以 相信 消息 顺序 是 正确 的 ,因为 攻击 者 无 法 成 功 地 修改 序列 号 。 

MAC 函数 与 加 密 类 似 , 其 区 别 之 一 是 ,MAC 算法 不 要 求 可 逆 性 而 加 密 算 法 必须 是 
可 道 的 。 一 般 而 言 ,MAC 函数 是 多 对 一 函数 ,其 定义 域 由 任意 长 的 消息 组 成 ,而 值 域 由 
所 有 可 能 的 MAC 组 成 。 若 使 用 位 长 的 MAC, 则 有 2" 个 可 能 的 MAC ,而 有 N 条 可 能 
的 消息 ,其 中 N 人 >2"。 而 且 若 密 钥 长 为 K, 则 有 2* 种 可 能 的 密 钥 。 

例如 ,假定 使 用 100 位 的 消息 和 10 位 的 MAC, 那 么 总 共有 2” 条 不 同 的 消息 ,但 仅 
有 2" 种 不 同 的 MAC。 所 以 平均 而 言 ,同一 MAC 可 以 由 2”/2” 二 2%” 条 不 同 的 消息 产 
生 。 若 使 用 的 密 钥 长 为 5 位 , 则 从 消息 集合 到 MAC 值 的 集合 有 二 32 种 不 同 的 映射 。 

可 以 证 明 , 由 于 认证 函数 的 数学 性 质 ,与 加 密 相 比 ,认证 函数 更 不 易 被 攻破 。 

图 6.2 所 示 的 过 程 可 以 提供 认证 但 不 能 提供 保密 性 ,因为 整个 消息 是 以 明文 形式 传 
送 的 。 若 在 MAC 算法 之 后 (如 图 6. 3(a) 所 示 ) 或 之 前 (如 图 6. 3(b) 所 示 ) 对 消息 加 密 则 
可 以 获得 保密 性 。 这 两 种 情形 都 需要 两 个 独立 的 密 钥 ,并 且 收 发 双方 共享 这 两 个 密 钥 。 
在 第 一 种 情形 中 , 先 将 消息 作为 输入 ,计算 MAC. 并 将 MAC 附加 在 消息 后 ,然后 对 整个 
信息 块 加 密 ;在 第 二 种 情形 中 , 先 将 消息 加 密 , 然 后 将 此 密 文 作为 输入 ,计算 MAC ,并 将 
MAC 附加 在 上 述 密 文 之 后 形成 待 发 送 的 信息 块 。 一 般 而 言 , 将 MAC 直接 附加 于 明文 之 
后 要 更 好 一 些 , 所 以 通常 使 用 如 图 6. 3(a) 所 示 的 方法 。 


6.2.1 消息 认证 码 的 应 用 场景 


对 称 加 密 可 以 提供 认证 , 且 它 已 被 广泛 用 于 现 有 产品 之 中 ,那么 为 什么 不 直接 使 用 加 
密 方法 而 要 使 用 分 离 的 消息 认证 码 呢 ? 下 面 列 举 了 三 种 更 适合 使 用 消息 认证 码 的 情形 : 

(1) 有 许多 应 用 是 将 同一 消息 广播 给 很 多 接收 者 。 例 如 需要 通知 各 用 户 网 络 暂 时 不 
可 使 用 ,或 一 个 军事 控制 中 心 要 发 一 条 警报 ,这 种 情况 下 ,一 种 经 济 可 靠 的 方法 就 是 只 要 
一 个 接收 者 负责 验证 消息 的 真实 性 ,所 以 消息 必须 以 明文 加 上 消息 认证 码 的 形式 进行 广 
播 。 上 述 负责 验证 的 接收 者 拥有 密 钥 并 执行 认证 过 程 , 若 MAC 错误 , 则 发 警报 通知 其 他 
各 接收 者 。 

(2) 在 信息 交换 中 ,可 能 有 这 样 一 种 情况 , 即 通信 某 一 方 的 处 理 负荷 很 大 ,没有 时 间 
解密 收 到 的 所 有 消息 ,他 应 能 随机 选择 消息 并 对 其 进行 认证 。 


104 


消息 认证 和 散 列 函数 


二 roj 9- 量 - 
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/ 二 
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{a) 先 计算 MAC 再 加 密 


D 到 
了 9- 0 -G 人 M 
必用 | 由 
KE \ 沪 
-由 CKWECKs, MD)) 


(b) 先 加 密 再 计算 MAC 
图 6.3 消息 认证 与 保密 


(3) 在 很 多 情况 下 ,对 明文 消息 不 需要 加 密 只 需要 进行 消息 认证 。 运 行 一 个 计算 机 
程序 而 不 必 每 次 对 其 解密 ,因为 每 次 对 其 解密 会 浪费 处 理 器 资源 。 若 将 消息 认证 码 附 于 
该 程序 之 后 则 可 在 需要 保证 程序 完整 性 的 时 候 才 检验 消息 认证 码 。 

除 此 以 外 ,还 有 下 述 三 种 情形 : 

(1) 一 些 应 用 并 不 关心 消息 的 保密 性 ,而 关心 消息 认证 。 例 如 简单 网 络 管理 协议 版 
本 (SNMPv3) 就 是 如 此 , 它 将 提供 保密 性 和 提供 认证 分 离开 来 。 对 这 些 应 用 ,管理 系统 应 
对 其 收 到 的 SNMP 消息 进行 认证 ,这 一 点 非常 重要 ,尤其 是 当 消 息 中 包含 修改 系统 参数 
的 命令 时 更 是 如 此 ,但 对 这 些 应 用 不 必 隐 藏 SNMP 传输 。 

(2) 将 认证 和 保密 性 分 离开 来 ,可 使 层次 结构 更 加 灵活 。 例 如 ,在 应 用 层 可 能 希望 对 
消息 进行 认证 ,而 在 更 低层 上 ,如 传输 层 , 可 能 希望 提供 保密 性 。 

(3) 仅 在 接收 消息 期 间 对 消息 实施 保护 是 不 够 的 ,用 户 可 能 希望 延长 对 消息 的 保护 
时 间 。 就 消息 加 密 而 言 ,消息 被 解密 后 就 不 再 受 任何 保护 ,这 样 只 是 在 传输 中 可 以 使 消息 
不 被 修改 ,而 不 是 在 接收 方 系统 中 保护 消息 不 被 修改 。 

由 于 收发 双方 共享 密 钥 ,因此 MAC 不 能 提供 数字 签名 的 功能 。 


6.2.2 基于 DES 的 消息 认证 码 


数据 认证 算法 (FIPS PUB 113) 建 立 在 DES 之 上 ,是 使 用 最 广泛 的 MAC 算法 之 一 ， 
它 也 是 个 ANSI 标 准 (X9. 17) 。 然 而 ,已 经 发 现 了 这 个 算法 的 安全 弱点 ,将 会 用 一 个 更 
新 、 更 强 的 算法 来 代替 它 。 

数据 认证 算法 采用 DES 运算 的 密码 分 组 链接 (CBC) 方 式 , 其 初始 向 量 为 0, 需 要 认证 
的 数据 (如 消息 、 记 录 文件 或 程序 ) 分 成 连续 的 64 位 的 分 组 Di ,D,,…, Dw, 车 最 后 分 组 
不 足 64 位 , 则 在 其 后 填 0 直至 成 为 64 位 的 分 组 。 利 用 DES 加 密 算法 EE 和 密 钥 KK ,计算 
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数据 认证 码 (DAC) 的 过 程 如 图 6.4 所 示 。 
@ = EK:;D:) 
O;: = E(K,[D, ©® 0.]) 
O; = E(K,[LD;: ® D:]) 


On = E(K,[LD» ® Nn1)) 
其 中 ,DAC 可 以 是 整个 块 Ov ,也 可 以 是 其 最 左边 的 M 位 ,其 中 16 志 M64。 


次 数 为 1 次 数 为 2 次 数 为 N-1 次 数 为 N 
DG4 们 ) 应 Du Dy 
| 
1 
| 1 
上 一 DES 加密 | 天 -一 DES 加 密 1 天 一 | DES 加 密 
(56 位 ) 
O1(64 位 ) 加 O, | Og 


DAC 
(16~64 位 ) 
图 6.4 计算 数据 认证 码 (DAC) 


6.3 安全 散 列 函数 


安全 单 向 散 列 (Hash) 函 数 是 消息 认证 码 的 一 种 变形 ,下 文中 简称 散 列 函数 。 散 列 函 
数 和 消息 认证 码 一 样 , 它 的 输入 是 可 变 大 小 的 消息 M, 输 出 是 固定 大 小 的 散 列 值 HCM)。 
与 MAC 不 同 的 是 , 散 列 值 并 不 使 用 密 钥 , 它 仅 是 输入 消息 的 函数 。 散 列 值 有 时 也 称 为 消 
息 摘 要 。 散 列 值 是 所 有 消息 位 的 函数 , 它 具 有 错误 检测 能 力 , 即 改变 消息 的 任何 一 位 或 多 
位 ,都 会 导致 散 列 值 的 改变 。 

散 列 值 h 由 下 述 形式 的 函数 太 生成: 

h= H(M) 

其 中 M 是 一 个 变 长 消息 ,HCMD) 是 定 长 的 散 列 值 。 消 息 正确 时 ,将 散 列 值 附 于 发 送 
方 的 消息 后 ;接收 方 通过 重新 计算 散 列 值 可 认证 该 消息 。 由 于 散 列 函数 本 身 是 不 保密 的 ， 
所 以 需要 有 某 些 方法 来 保护 散 列 值 。 

图 6.5 给 出 了 将 散 列 值 用 于 消息 认证 的 几 种 方法 ,如 下 所 述 : 

(1) 用 对 称 密码 对 消息 及 附加 在 其 后 的 散 列 值 加 密 。 这 种 方法 的 结构 如 图 6. 5(a) 所 
示 。 同 样 的 推理 : 由 于 只 有 A 和 B 共享 密 钥 , 所 以 消息 一 定 是 来 自 A 且 未 被 修改 过 。 散 
列 值 提供 了 认证 所 需 的 结构 或 宛 余 ,并 且 由 于 该 方法 是 对 整个 消息 和 散 列 值 加 密 , 所 以 也 
提供 了 保密 性 。 
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源 A 宿 B 
K A 比较 


x 7 | 
E(K.[MIHM)) [a 
[ DD HM) 


(a) 计算 散 列 值 后 加 密 


M 
-一 En 
Le 
E(K.HI Am 


(b) 对 散 列 值 进行 对 称 加 密 


源 A 宿 B 
四 
1 
FP 比较 
PR, I 
不 BR MY) 
-DA 
(©) 对 散 列 值 使 用 公 钥 密码 


图 6.5 散 列 函数 用 于 消息 认证 


(2) 用 对 称 密码 仅 对 散 列 值 加 密 。 对 那些 不 要 求 保密 性 的 应 用 ,这 种 方法 会 减少 处 
理 代 价 。 注 意 , 散 列 函 数 和 加 密 函 数 的 合成 函数 即 是 MAC( 见 图 6. 5(b)), 也 就 是 说 ， 
E(K,H(M)) 是 变 长 消息 M 和 密 钥 天 的 函数 , 它 产 生 定 长 的 输出 值 ,车 攻击 者 不 知道 密 
钥 , 则 他 无 法 得 出 这 个 值 。 

(3) 用 公 钥 密码 和 发 送 方 的 私 钥 仅 对 散 列 加 密 。 同 图 6. 5(c) 一 样 ,这 种 方法 可 提供 
认证 ;由 于 只 有 发 送 方 可 以 产生 加 密 后 的 散 列 值 ,所 以 这 种 方法 也 提供 了 数字 签名 ,事实 
上 ,这 就 是 数字 签名 技术 的 本 质 所 在 。 

(4) 若 既 希望 保证 保密 性 又 希望 有 数字 签名 , 则 先 用 发 送 方 的 私 钥 对 散 列 值 加 密 ,再 
用 对 称 密 码 中 的 密 钥 对 消息 和 上 述 加 密 结果 进行 加 密 。 这 种 技术 比较 常用 。 

如 果 不 要 求 保证 保密 性 ,那么 由 于 图 6.5(b) 和 (c) 中 所 需 的 计算 较 少 ,而 且 人 们 越 来 
越 对 那些 不 含 加 密 函 数 的 方法 感 兴趣 ,所 以 图 6.5(b) 和 (c) 比 那些 对 整 条 消息 加 密 的 方 
法 要 好 一 些 。 这 里 列 出 几 种 不 希望 使 用 加 密 函 数 的 理由 : 

。 加 密 软 件 速 度 慢 。 即 使 每 条 消息 需要 加 密 的 数据 量 不 大 ,但 是 总 需要 消息 串 输入 

到 加 密 系 统 中 或 由 系统 输出 。 
。 加 密 硬件 成 本 不 容 忽 视 。 尽 管 已 有 实现 DES 的 低 成 本 芯片 ,但 是 若 网 络 中 所 有 
结 点 都 必须 有 该 硬件 , 则 总 成 本 可 能 很 大 。 
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。 加 密 硬 件 的 优化 是 针对 大 数据 块 的 。 对 小 数据 块 ,大 量 时 间 花 费 在 初始 化 和 调 
之 上 5 
。 加 密 算法 可 能 受 专利 保护 。 必 须 经 批准 后 才能 使 用 ,这 也 会 增加 成 本 。 


6.3.1 对 散 列 函 数 的 要 求 


我 们 首先 讨论 用 于 消息 认证 的 散 列 函 数 应 满足 的 要 求 , 因 为 散 列 函数 一 般 很 复杂 ,所 
以 讨论 一 些 简单 的 散 列 函数 有 助 于 理解 散 列 函数 的 有 关内 容 ; 然 后 介绍 散 列 函数 设计 的 
几 种 方法 。 

散 列 函 数 的 目的 就 是 要 产生 文件 .消息 或 其 他 数据 块 的 “指纹 ”。 散 列 函 数 要 能 够 月 
于 消息 认证 , 它 必须 具有 下 列 性 质 : 

(1) 瓦 可 应 用 于 任意 大 小 的 数据 块 。 

(2) 瓦 产生 定 长 的 输出 。 

(3) 对 任意 给 定 的 zx, 计算 五 (z) 比 较 容 易 , 用 硬件 和 软件 均 可 实现 。 

(4) 对 任意 给 定 的 散 列 值 ,找到 满足 H(z)==h 的 xz 在 计算 上 是 不 可 行 的 ,有 些 文 
献 中 称 为 单 向 性 。 

(5) 对 任何 给 定 的 分 组 xz, 找到 满足 y 关 xz 且 理 (zx)==H(y) 的 y 在 计算 上 是 不 可 行 
的 ,有 时 称 为 抗 弱 碰撞 性 。 

(6) 找到 任何 一 对 满足 y 了 关 z 且 昌 (zx) 二 Hl(y) 的 (zx,y) 在 计算 上 是 不 可 行 的 。 有 时 
称 为 抗 强 碰 撞 性 。 

前 3 个 条 件 是 散 列 函 数 实际 应 用 于 消息 认证 中 所 必须 满足 的 。 

第 4 个 条 件 单 向 性 是 指 ,由 消息 很 容易 计算 出 散 列 值 ,但 是 由 散 列 值 却 不 能 计算 出 相 
应 的 消息 ,对 使 用 一 个 秘密 值 的 认证 方法 ,这 个 性 质 非常 重要 。 例 如 ,使 用 用 户 密码 登录 
邮箱 ,这 里 的 用 户 密码 是 秘密 值 ,通常 用 散 列 函 数 计算 出 散 列 值 ,再 传送 该 散 列 值 。 虽 然 
该 秘密 值 本 身 并 不 传送 ,但 若 散 列 函 数 不 是 单 向 的 , 则 攻击 者 可 以 按 如 下 方式 很 容易 地 找 
出 这 个 秘密 值 : 若 攻击 者 能 够 观察 或 截获 到 传送 的 消息 , 则 他 可 以 得 到 消息 M 和 散 列 值 
C= 二 HH(Sna ‖ MD) ,然后 求 出 散 列 函数 的 着, 从 而 得 出 SAs | M 二 HT!(C)。 由 于 攻击 者 已 
知 M 和 SAa | M, 所 以 可 得 出 Se 。 这 里 的 Sas 是 A 与 B 之 间 的 秘密 值 。 

第 5 个 性 质 可 以 保证 ,不 能 找到 与 给 定 消息 具有 相同 散 列 值 的 另 一 消息 ,因此 可 以 在 
使 用 对 散 列 值 加 密 的 方法 中 ( 见 图 6.5(b) 和 图 6. 5(c)) 防 止 攻击 者 伪造 散 列 值 。 在 这 些 
方法 中 ,攻击 者 可 以 读 取消 息 并 产生 其 散 列 值 ,但 是 由 于 攻击 者 不 知道 密 钥 ,所 以 他 不 可 
能 改变 消息 而 又 不 被 察觉 。 如 果 第 5 个 性 质 不 成 立 , 那 么 攻击 者 可 以 先 观察 或 截获 一 条 
消息 及 其 加 密 的 散 列 值 ,然后 由 消息 产生 一 个 未 加 密 的 散 列 值 ,最 后 产生 另 一 个 具有 相同 
散 列 值 (未 加 密 ) 的 消息 。 

第 6 个 性 质 涉及 散 列 函 数 抗 生 日 攻击 这 类 攻击 的 能 力 强 弱 问题 。 后 面 再 来 讨论 生日 
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6.3.2 简单 散 列 函 数 


所 有 的 散 列 函 数 都 按 下 面 的 一 般 原理 进行 运算 。 输 入 (消息 、 文 件 等 ) 都 可 看 作 是 一 
个 位 分 组 的 序列 ,其 输出 是 位 的 散 列 值 。 散 列 函 数 每 次 处 理 一 个 分 组 ,重复 该 过 程 直 
至 处 理 完 所 有 的 输入 分 组 。 

最 简单 的 散 列 函 数 之 一 是 将 每 个 分 组 相应 位 异 或 (XOR) ,这 个 函数 可 描述 为 : 

C=ba Bbz DBDb 
其 中 : C; 为 散 列 值 的 第 i 位 ,1 三 i 三 n;m 为 n 位 输入 分 组 的 个 数 ;bi 为 第 j 个 分 组 的 
第 i 位 ;中 为 异 或 运算 。 

上 述 运 算 过 程 , 它 对 每 一 位 产生 一 个 简单 的 奇偶 校 验 ,这 种 方法 用 于 随机 数 的 数据 完 
整 性 检查 比较 有 效 。 如 果 每 个 位 散 列 值 出 现 的 概率 都 相同 ,那么 数据 出 错 而 不 引起 散 
列 值 改 变 的 概率 为 2-"。 若 数据 格式 不 是 随机 的 , 则 会 降低 函数 的 有 效 性 ,例如 ,通常 大 
多 数 文本 文件 中 每 个 8 位 字 节 的 高 位 总 为 0, 若 使 用 128 位 的 散 列 值 , 则 对 这 类 数据 , 散 
列 函 数 的 有 效 性 是 2- 下 而 不 是 2 5 。 

一 种 简单 的 改进 方法 是 ,每 处 理 完 一 个 分 组 后 将 散 列 值 循环 移 位 一 次 ,这 个 过 程 可 归 
纳 如 下 : 

(1) n 位 散 列 值 的 初 值 为 0。 

(2) 如 下 处 理 每 个 位 的 分 组 : 

加 将 当前 的 散 列 值 循环 左 移 一 次 。 

@ 将 该 分 组 与 散 列 值 异 或 。 

这 样 可 使 输入 更 加 完全 地 “随机 ,从 而 消除 输入 数据 的 规则 性 。 虽 然 第 二 种 方法 可 
以 很 好 地 保证 数据 完整 性 ,如 果 使 用 图 6.5(b) 和 图 6. 5(c) 所 示 的 方法 ,即将 加 密 后 的 散 
列 值 附 加 在 明文 之 后 ,那么 该 方法 不 能 保证 数据 安全 性 。 因 为 很 容易 产生 一 条 新 消息 ,使 
它 与 给 定 的 消息 具有 相同 的 散 列 值 : 先 选 定 某 消息 ,然后 在 其 后 附加 一 个 位 分 组 ,使 它 
们 与 给 定 的 消息 具有 相同 的 散 列 值 。 


6.3.3 生日 攻击 


所 谓 的 生日 悖 论 是 密码 学 领域 经 常 涉及 的 一 个 基本 问题 。 生 日 悖 论 , 指 如 果 一 个 房 
间 里 有 23 个 或 23 个 以 上 的 人 ,那么 至 少 有 两 个 人 的 生日 相同 的 概率 要 大 于 50%。 这 就 
意味 着 在 一 个 典型 的 标准 小 学 班级 (30 人 ) 中 ,存在 两 人 生日 相同 的 可 能 性 更 高 。 对 于 
60 或 者 更 多 的 人 ,这 种 概率 要 大 于 99% 。 从 引起 逻辑 矛盾 的 角度 来 说 生日 悖 论 并 不 是 一 
种 悖 论 , 从 这 个 数学 事实 与 一 般 直觉 相抵 触 的 意义 上 , 它 才 称 得 上 是 一 个 悖 论 。 大 多 数 人 
会 认为 ,23 人 中 有 2 人 生日 相同 的 概率 应 该 远 远 小 于 50%。 计 算 与 此 相关 的 概率 被 称 为 
生日 问题 ,在 这 个 问题 之 后 的 数学 理论 已 被 用 于 设计 著名 的 密码 攻击 方法 。 

可 以 用 以 下 方法 验证 这 个 结论 , 先 计算 房间 里 所 有 人 的 生日 都 不 相同 的 概率 ,那么 : 

。 第 一 个 人 的 生日 是 365 选 365。 
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。 第 二 个 人 的 生日 是 365 选 364。 
。 第 三 个 人 的 生日 是 365 选 363。 


。 第 nn 个 人 的 生日 是 365 选 365 一 (n 一 1)。 

所 以 所 有 人 生日 都 不 相同 的 概率 是 : 

(365/365)X (364/365) X(363/365) X (362/365) X…X((365 一 2 十 1)/365) 

那么 ,n 个 人 中 有 至 少 两 个 人 生日 相同 的 概率 就 是 : 

1 一 (365/365)X (364/365) X(363/365) X(362/365)X…X((365 一 2 十 1)/365) 

所 以 当 ?一 23 的 时 候 , 概 率 为 0. 507 。 

当 ”一 100 的 时 候 , 概 率 为 0. 9999996。 

换 一 个 角度 ,如 果 你 进入 了 一 个 有 着 22 个 人 的 房间 ,房间 里 的 人 中 会 和 你 有 相同 生 
日 的 概率 便 不 是 50% 了 ,而 是 变 得 非常 低 。 原 因 是 这 时 候 只 能 产生 22 种 不 同 的 搭配 。 
生日 问题 实际 上 是 在 问 任何 23 个 人 中 会 有 两 人 生日 相同 的 概率 是 多 少 。 

在 了 解 生日 悖 论 后 ,来 分 析 散 列 函数 的 安全 性 问题 。 有 人 可 能 认为 使 用 64 位 的 散 列 
值 会 很 安全 ,例如 ,如 果 将 加 密 后 的 散 列 值 与 未 加 密 的 消息 一 起 传输 ( 见 图 6. 5(b) 或 
图 6.5(c)) ,那么 攻击 者 必须 找到 满足 HCM')= 二 HC(M) 的 M 来 蔡 代 M, 以 欺骗 接收 者 。 
攻击 者 要 找到 这 样 的 消息 通常 大 约 需 要 进行 2 次 尝试 。 

但 是 ,可 能 有 另 一 种 类 型 的 攻击 ,这 种 攻击 建立 在 生日 悖 论 的 基础 之 上 : 

(1) 发 送 方 准备 对 消息 “签名”, 其 使 用 的 方法 是 ,用 其 私 钥 对 m 位 的 散 列 值 加 密 并 将 
加 密 后 的 散 列 值 附 于 消息 之 后 , 见 图 6. 5(c) 。 

(2) 攻击 者 产生 该 消息 的 2" ?种 变 式 , 且 每 一 种 变 式 表 达 相 同 的 意义 。 攻 击 者 再 
伪造 一 条 消息 ,并 产生 该 伪造 消息 的 2"4: 种 变 式 ,攻击 者 准备 用 该 伪造 消息 替代 真实 
消息 。 

(3) 比较 上 述 两 个 集合 , 找 出 产生 相同 散 列 值 的 一 对 消息 。 根 据 生日 悖 论 , 找 到 这 对 
消息 的 概率 大 于 0. 5, 如 果 找 不 到 这 样 的 消息 ,那么 再 产生 一 条 有 效 的 消息 和 伪造 的 消息 
直至 成 功 为 止 。 

(4) 攻击 者 将 该 有 效 变 式 提 供给 人 签名 ,将 该 签名 附 于 伪造 消息 的 有 效 变 式 后 并 发 
送 给 预期 的 接收 方 。 因 为 上 述 两 个 变 式 的 散 列 值 相同 ,所 以 它们 产生 的 签名 也 相同 ,因此 
攻击 者 即使 不 知道 加 密 密 钥 也 能 攻击 成 功 。 

这 样 ,如果 使 用 64 位 的 散 列 值 ,那么 所 需 代价 的 数量 级 仅 为 ?2 。 产 生 多 个 具有 相同 
意义 的 变 式 并 不 困难 。 例 如 ,攻击 者 可 以 在 文件 的 词 与 词 之 间 插 入 若干 “空格 十 空格 十 退 
格 ” 字 符 对 ,然后 在 实例 中 用 “空格 十 退 格 十 空格 ”替代 这 些 字符 从 而 产生 各 种 变 式 。 攻 击 
者 也 可 以 简单 地 改变 消息 中 词 的 顺序 但 不 改变 消息 的 意义 。 由 此 可 以 得 出 结论 , 散 列 值 
的 长 度 应 该 较 长 。 

事实 上 ,对 于 长 度 为 N 位 的 散 列 函数 ,有 2* 中 不 同 的 散 列 值 ,假设 所 有 散 列 输出 取 
值 的 可 能 都 是 均等 的 ,生日 问题 表明 对 于 2 个 不 同 的 输入 取 散 列 值 , 很 容易 找到 一 个 碰 
撞 , 即 两 个 不 同 输入 的 散 列 值 相同 。 这 意味 着 产生 N 位 输出 的 安全 散 列 函 数 需要 大 约 
2 次 计算 就 能 攻破 ,而 对 于 密 钥 长 度 为 N 位 的 对 称 密码 需要 大 约 2% :次 计算 才能 暴力 
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破解 。 这 说 明 , 如 果 在 只 能 使 用 暴力 破解 的 前 提 下 ,一 个 散 列 函数 的 输出 长 度 至 少 应 该 是 
对 称 密 码 密 钥 长 度 的 两 倍 时 ,才能 提供 相当 的 安全 强度 。 


6.3.4 SHA 安全 散 列 算法 


近 些 年 ,应 用 最 为 广泛 的 散 列 函数 是 安全 散 列 算法 (SHA)。 由 于 其 他 每 一 种 被 广泛 
应 用 的 散 列 函数 都 已 被 证 实 存在 着 密码 分 析 学 中 的 缺陷 ,截止 到 2005 年 ,SHA 或 许 是 最 
后 仅 存 的 标准 散 列 算法 。SHA 由 美国 国家 标准 与 技术 研究 所 (NIST) 开 发 ,并 在 1993 年 
公布 成 为 美国 联邦 信息 处 理 标准 (FIPS 180)。 当 人 们 发 现 SHA 中 也 存在 缺陷 之 后 ( 目 
前 已 知 SHA-0 中 存在 ) ,FIPS 180 的 修订 版 本 FIPS 180-1 于 1995 年 公布 出 来 ,通常 称 为 
SHA-1。 现 行 的 标准 文献 被 命名 为 “安全 散 列 标准 ”。SHA 是 基于 散 列 函数 MD4, 并 且 
其 构架 跟 MD4 高 度 相 仿 。RFC 3174 中 也 列 出 了 SHA-1, 但 它 实 质 上 是 FIPS 180-1 的 复 
制品 ,只 是 增加 了 C 代码 实现 。 

SHA-1 生成 的 160 比特 的 散 列 值 。2002 年 ,NIST 制定 了 修订 版 本 的 标准 : FIPS-2 。 
它 定义 了 三 种 新 版 本 的 SHA , 散 列 长 度 分 别 为 256、384、512 比特 ,分 别称 为 SHA-256、 
SHA-384、SHA-512, 三 者 并 称 为 SHA-2。 这 些 新 版 本 使 用 了 与 SHA-1 相同 的 底层 结构 
和 相同 类 型 的 模 运 算 以 及 相同 的 二 元 逻辑 运算 。2008 年 发 布 的 修订 文献 FIP PUB 180-3 
增加 了 224 比特 的 版 本 (如 表 6. 1 所 示 )。RFC 4634 中 也 列 出 了 SHA-2, 但 它 实质 上 是 
FIPS 180-3 的 复制 品 , 只 是 增加 了 C 代码 实现 。 


表 6.1 SHA 参数 的 比较 
SHA-1 SHA-224 SHA-256 SHA-384 SHA-512 


消息 摘要 大 小 160 224 256 384 512 
消息 大 小 本 于 名 LY 或- 坟 小 于 2% 本 天 2 小 于 2'* 
块 大 小 512 512 512 1024 1024 
字 大 小 32 32 32 64 64 
步骤 数 80 64 64 80 80 
安全 80 112 128 192 256 


2005 年 ,NIST 宣布 计划 到 2010 年 不 再 认可 SHA-1, 转 为 信任 SHA-2。 此 后 不 久 ， 
我 国 山东 大 学 的 王小云 教授 等 提出 了 对 SHA-1 的 攻击 ,该 方法 可 以 找到 产生 相同 
SHA-1 的 两 条 独立 的 消息 ,他 们 只 用 2” 次 操作 , 远 少 于 以 前 认为 找到 SHA-1 碰撞 所 需 
的 2” 次 操作 。 王 小 云 教授 的 研究 工作 使 得 找到 SHA-1 碰撞 的 复杂 度 降 到 2” 次 操作 ,之 
后 又 降 到 2” 次 操作 。 

这 部 分 对 SHA-512 进行 介绍 ,其 他 SHA 算法 与 之 很 相似 。 该 算法 以 最 大 长 度 不 
超过 2 总 比特 的 消息 作为 输入 ,生成 512 比特 的 消息 摘要 输出 。 输 入 一 个 1024 比特 的 
数据 块 进行 处 理 。 图 6. 6 描述 了 处 理 消 息 生 成 摘要 的 全 过 程 。 处 理 过 程 包 括 以 下 
步骤 : 
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(1) 追加 填充 比特 。 填 充 消 息 使 其 长 度 模 1024 同 余 896( 长 度 寺 896( 模 1024)) 。 即 
使 消息 已 经 是 期 望 的 长 度 , 也 总 是 要 添加 填充 。 因 此 ,填充 比特 的 范围 是 1 一 1024。 填 充 
部 分 是 由 单个 比特 1 后 接 所 需 个 数 的 比特 0 构成 。 

(2) 追加 长 度 。 将 128 比特 的 数据 块 追加 在 消息 上 。 该 数据 块 被 看 作 128 比特 的 无 
符号 整数 (高 位 字 节 在 前 ) , 它 还 含有 原始 消息 (未 填充 前 ) 的 长 度 。 前 两 步 生 成 了 长 度 为 
1024 比特 整数 倍 的 消息 。 在 图 6. 6 中 ,被 延展 的 消息 表示 为 1024 比特 的 数据 块 序列 
Mi ,M: ,…,MN ,所 以 延展 后 消息 总 长 度 为 NX 1024 比特 。 

Nx1024 比 特 
/比特 


le 


h 
1024 比 特 11024 比 特 | 
| 


TIV= 有 所 
512 比 特 ”512 比 特 ”512 比 特 
@ 为 模 2” 逐 字 相 加 
图 6.6 用 SHA-512 生成 消息 摘要 


(3) 初始 化 散 列 缓冲 区 。 用 512 比特 的 缓冲 区 保存 散 列 函数 中 间 和 最 终结 果 。 缓 冲 
区 可 以 是 8 个 64 比特 的 寄存 器 (a、b、c.d、e、f、g、h)。 这 些 寄存 器 初始 化 为 64 比特 的 整 
数 (十 六 进 制 值 ) : 


| 所 — [mn 
散 列 码 


a=6A09E667F3BCC908, 0 一 BB67AE8584CAA73B 
c=3C6EF372FE94F82B, d=A54FF53A5F1D36F1 
e 一 510E527FADE682D1， /一 9B05688C2B3E6C1F 
g 一 1F83D9ABFB41BD6B， /一 5BE0OCDI9137E2179 

这 些 值 以 逆序 的 形式 存储 , 即 字 的 最 高 字 节 存在 最 低地 址 (最 左边 ) 字 节 位 置 。 这 些 
字 取 自前 8 个 素数 平方 根 小 数 部 分 的 前 64 比特 。 

(4) 处 理 1024 比特 (128 字 ) 的 数据 块 消息 。 算 法 的 核心 是 80 轮 和 迭代 构成 的 模块 ;该 
模块 在 图 6. 6 中 标记 为 下 ,图 6.7 说 明 其 逻辑 关系 。 每 一 轮 都 以 512 比特 的 缓冲 区 值 
abcdefgh 为 输入 ,并 且 更 新 缓冲 区 内 容 。 在 第 一 轮 的 输入 端 ,缓存 中 间 散 列 值 及;-1。 在 
任意 第 : 轮 ,使 用 从 当前 正在 处 理 的 1024 比特 的 数据 块 CMi) 获 取 的 64 比特 值 W,。 每 一 
轮 还 使 用 外 加 常数 K, ,其 中 0 过 :<<79 表示 80 轮 中 的 某 一 轮 。 这 些 字 取 自前 8 个 素数 立 
方 根 小 数 部 分 的 前 64 比特 。 这 些 常数 用 来 随机 化 64 比特 模式 ,消除 输入 数据 中 的 任何 
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规则 性 。 第 80 轮 输出 加 到 第 1 轮 输 入 (FH;-1) 生 成 及;。 缓 冲 区 里 的 任意 8 个 字 与 Hi 
相应 的 字模 2 独立 相 加 。 

(5) 输出 。 当 所 有 N 个 1024 比特 的 数据 块 都 处 理 完毕 后 ,从 第 N 阶段 输出 的 便 是 
512 比特 的 消息 摘要 。 

SHA-512 算法 使 得 散 列 值 的 任意 比特 都 是 输入 端 每 1 比特 的 函数 。 基 本 函数 下 的 
复杂 迭代 产生 很 好 的 混淆 效果 , 即 随机 选取 两 组 即使 有 很 相似 的 规则 性 的 消息 也 不 可 能 
生成 相同 的 散 列 值 。 除 非 SHA-512 隐 含 一 些 直 到 现在 还 没有 公布 的 弱点 ,构造 具有 相同 
消息 摘要 的 两 条 消息 的 难度 的 数量 级 为 2” 步 操作 ,而 找 出 给 定 摘要 的 消息 的 难度 
为 2512 。 


Hi | i111 
“ee el 
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图 6.7 SHA-512 处 理 单个 1024 比特 的 数据 块 
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6.3.5 HMAC 


近年 来 ,人 们 对 从 散 列 函数 (如 SHA-1) 中 开发 MAC 越 来 越 感 兴趣 。 这 种 兴趣 的 动 
机 是 : 

。 采 用 软件 实现 时 , 散 列 函数 执行 速度 比 传统 加 密 算法 (如 DES) 快 。 

。 散 列 函数 的 库 代 码 广泛 可 用 。 

如 同 SHA-1 ,设计 散 列 函数 并 不 是 为 了 用 作 MAC。 因 为 散 列 函数 不 依赖 于 密 钥 ,所 
以 它 不 能 直接 用 于 此 目的 。 已 经 有 很 多 方案 可 以 把 密 钥 合并 到 现 有 的 散 列 算法 中 。 最 被 
广泛 接受 的 方案 就 是 HMAC,HMAC 已 经 发 布 为 RFC 2104 标准 ,并 被 选 作 保护 IP 安全 
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的 从 命令 到 实现 (mandatory-to-implement) 的 MAC。HMAC 也 被 用 于 其 他 Internet 协 
议 ,如 传输 层 安 全 (Transport Layer Security, TLS, 它 将 很 快 取代 安全 套 接 层 SSL) 和 安 
全 电子 交易 (Secure Electronic Transaction ,SET) 。 


1. HAMC 的 设计 目标 


RFC 2104 为 HMAC 列 出 了 下 列 设计 目标 : 

(1) 不 改动 即 可 使 用 散 列 函数 。 因 为 散 列 函数 优点 很 多 ,如 软件 性 能 很 好 ,代码 免费 
和 使 用 普及 。 

(2) 艇 入 式 散 列 函数 要 有 很 好 的 可 移植 性 ,以 便 开 发 更 快 或 更 安全 的 散 列 函数 。 

(3) 保持 散 列 函数 的 原 有 性 能 ,不 发 生 显著 退化 。 

(4) 使 用 和 处 理 密 钥 简单 。 

(5) 基于 嵌入 式 散 列 函数 的 合理 假设 ,能够 很 好 地 理解 和 分 析 认 证 机 制 的 密码 强度 。 

前 两 个 目标 对 于 HMAC 的 可 接受 性 非常 重要 。HMAC 把 散 列 函数 当成 一 个 “ 黑 
盒 ”。 这 有 两 个 优点 : 首先 ,实现 HMAC 时 现 有 的 散 列 函 数 可 以 用 作 一 个 模块 。 这样, 已 
经 预先 打包 的 大 量 HMAC 代码 可 以 不 加 修改 地 使 用 。 第 二 ,如 果 想 替换 一 个 HMAC 实 
现 中 的 特定 散 列 函 数 , 所 需 做 的 只 是 除去 现 有 的 散 列 函数 模块 , 放 入 新 模块 。 如 果 需 要 更 
快 的 散 列 函 数 时 就 可 以 这 样 操作 。 更 为 重要 的 是 ,如 果 嵌 入 式 散 列 函 数 的 安全 性 受到 威 
胁 , 可 通过 简单 地 用 更 加 安全 的 模块 取代 嵌入 式 散 列 函数 ,从 而 保证 了 HMAC 的 安全 。 

实际 上 ,上 述 设计 目标 中 的 最 后 一 个 目标 是 HMAC 相对 其 他 散 列 方案 最 主要 的 优 
点 。 如 果 能 提供 有 一 定 合 理性 的 抗 密 码 分 析 强 度 的 嵌入 式 散 列 函 数 ,就 能 够 证 明 HMAC 
是 安全 的 ,我 们 首先 分 析 HMAC 的 结 


2. HMAC 算法 
ipad 
图 6.8 描述 了 HMAC 的 整个 操作 。 定 义 | 
下 列 术语 : > 
。 瑟 为 嵌入 的 散 列 函 数 (如 SHA-1)。 | 4 比特 4 比特 必 比 特 _ 
。M 为 输入 HMAC 的 消息 (包括 嵌入 式 s|»i ”| [Lz 
散 列 函 数 中 特定 的 填充 部 分 )。 | 
。 了 ;为 M 的 第 i 个 分 组 (0<i(L 一 1))。 TV 一 散 列 
“ 工 为 M 中 的 分 组 数 。 i EE 竺 
。，5 为 分 组 中 的 比特 数 。 @ HSIIM) 
"为 嵌入 式 散 列 两 数 产生 的 散 列 值 一 | Eee 
长 度 。 六 
下 为 密 钥 ;如 果 密 钥 长 度 大 于 0, 则 将 其 本 | 
输入 给 散 列 函数 生成 n 比特 的 密 钥 ; 建 JV 一 一 | 散 列 
议长 度 大 于 或 等 于 。 nt 将 
HMAC(K.M) 


K+ 为 K 以 及 其 左边 填充 的 使 长 度 为 5 的 0。 
ipad 二 00110110 (十 六 进 制 为 36), 重复 图 6.8 HMAC 结构 
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5/8 次 。 

opad 王 01011100( 十 六 进 制 数 为 5C) ,重复 5/8 次 。 

HMAC 可 用 下 式 表 示 : 

HMAC(K,M)=H[(K+@opad) ‖ HL(K+ 中 ipad) || M]] 

简 言 之 : 

(1) 在 KK 的 左 端 追加 0 构成 5 比特 的 字符 串 天 ” (例如 ,KK 的 长 度 为 160 比特 ,2 一 
512,K 将 被 追加 44 个 0 字 节 0x00) 。 

(2) ipad 与 K+ 进行 XOR ( 按 比特 异 或 ) 生 成 5 比特 的 分 组 S;。 

(3) 将 M 追加 在 S; 上。 

(4) 将 五 应 用 于 步骤 (3) 所 产生 的 数据 流 。 

(5) opad 与 K+ 进行 XOR 生成 5 比特 的 分 组 Su 。 

(6) 将 步骤 (4) 产 生 的 散 列 结果 追加 在 S 上 。 

(7) 将 五 应 用 于 步骤 (6) 产 生 的 数据 流 ,输出 结果 。 

注意 ,与 ipad 进行 异 或 将 导致 K 一 半 的 比特 翻转 。 类 似 地 ,与 opad 进行 异 或 也 导致 
K 一 半 的 比特 翻转 ,但 翻转 的 比特 却 不 同 。 实 际 上 ,用 散 列 算法 处 理 S 和 So, 我 们 已 经 
从 下 伪 随 机 地 生成 了 两 个 密 钥 。 

HMAC 的 执行 时 间 应 该 与 嵌入 式 散 列 函数 处 理 长 消息 所 用 的 时 间 近 似 相 等 。 
HMAC 执行 了 三 次 基本 的 散 列 函数 (S;、S。 和 内 部 散 列 生 成 的 数据 块 )。 


6.4 数字 签名 


为 了 鉴别 文件 或 书信 的 真 伪 ,传统 的 做 法 是 相关 人 员 在 文件 或 书信 上 亲笔 签名 或 用 
印章 。 签 名 或 印章 起 到 认证 ,核准 、 生 效 的 作用 。 随 着 信息 时 代 的 到 来 ,人 们 希望 通过 数 
字 通 信 网 络 迅速 传递 贸易 合同 ,这 就 出 现 了 合同 真实 性 认证 的 问题 ,数字 签名 就 应 运 而 
生 。 

数字 签名 用 来 保证 信息 传输 过 程 中 信息 的 完整 和 确认 信息 发 送 者 的 身份 。 在 电子 商 
务 中 安全 方便 地 实现 在 线 支付 ,而 数据 传输 的 安全 性 、 完 整 性 ,身份 验证 机 制 以 及 交易 的 
不 可 抵赖 措施 等 都 通过 安全 性 认证 手段 加 以 解决 ,电子 签名 可 以 进一步 方便 企业 和 消费 
者 在 网 上 做 生意 ,使 企业 和 消费 者 双方 获 利 。 例 如 ,商业 用 户 无 须 在 纸 上 签字 或 为 信函 往 
来 而 等 待 , 足 不 出 户 就 能 够 通过 网 络 获得 抵押 贷款 购买 保 险 或 者 与 房屋 建筑 商 签订 契约 
等 ,企业 之 间 也 能 通过 网 上 磋商 达成 有 法 律 效力 的 协议 。 

数字 签名 是 通过 某 种 密码 运算 生成 一 系列 符号 及 代码 组 成 电子 密码 进行 签名 ,来 代 
替 书 写 签名 或 印章 ,对 于 这 种 电子 式 的 签名 还 可 进行 技术 验证 ,其 验证 的 准确 度 是 一 般 手 
工 签名 和 图 章 的 验证 无 法 比拟 的 。 数 字 签 名 是 目前 电子 商务 .电子 政务 中 应 用 最 普遍 、 技 
术 最 成 熟 的 .可 操作 性 最 强 的 一 种 电子 签名 方法 。 它 采用 了 规范 化 的 程序 和 科学 化 的 方 
法 ,用 来 鉴定 签名 人 的 身份 以 及 对 一 项 电子 数据 内 容 的 认可 。 它 还 能 验证 出 文件 的 原文 
在 传输 过 程 中 有 无 变动 ,确保 传输 电子 文件 的 完整 性 、 真 实 性 和 不 可 抵赖 性 。 

数字 签名 在 OSP7498 一 2 标准 中 定义 为 :“ 附 加 在 数据 单元 上 的 一 些 数 据 , 或 是 对 数 


115 一 


《网 络 安全 原理 与 实践 》 


据 单元 所 作 的 密码 变换 ,这 种 数据 和 变换 允许 数据 单元 的 接收 者 用 于 确认 数据 单元 来 源 
和 数据 单元 的 完整 性 ,并 保护 数据 ,防止 被 人 (例如 接收 者 ) 进 行 伪造 >。 美国 电子 签名 标 
准 (DSS,FIPS186-2) 对 数字 签名 做 了 解释 :“ 利 用 一 套 规则 和 一 个 参数 对 数据 计算 所 得 
的 结果 ,用 此 结果 能 够 确认 签名 者 的 身份 和 数据 的 完整 性 ”。 在 数字 签名 中 ,最 常用 到 的 
是 采用 公 钥 技术 进行 数字 签名 。 


6.4.1 数字 签名 原理 


在 网 络 传 送 中 ,信息 的 接收 方 可 以 伪造 一 份 报 文 ,并 声称 是 由 发 送 方 发 过 来 的 ,从 而 
获得 非法 利益 。 例 如 ,银行 通过 网 络 传送 一 张 电子 支票 ,接收 方 就 可 能 改动 支票 的 金额 ， 
并 声称 是 银行 发 送 过 来 的 。 同 样 , 信 息 的 发 送 方 也 可 以 否认 发 送 过 报 文 ,从 而 获得 非法 利 
益 。 例 如 ,客户 给 委托 人 发 送 一 份 进行 某 项 股票 交易 的 报 文 ,如 果 这 项 股票 交易 亏损 了 ， 
客户 为 了 逃避 损失 否认 了 发 送 交 易 的 报 文 。 因 此 ,需要 新 的 安全 技术 来 解决 在 通信 过 程 
中 引起 的 争端 ,这 种 技术 就 是 数字 签名 技术 。 

当 通 信 双 方 发 生 下 列 情况 时 ,数字 签名 技术 必须 能 够 解决 引发 的 争端 。 

。 否认 ,发 送 方 不 承认 自己 发 送 过 某 一 报 文 。 

。 伪造 ,接收 方 自己 伪造 一 份 报 文 ,并 声称 它 来 自发 送 方 。 

。 冒充 ,网 络 上 的 某 个 用 户 冒 充 另 一 个 用 户 接收 或 发 送 报 文 。 

。 自 改 ,接收 方 对 收 到 的 信息 进行 自 改 。 

信息 发 送 者 使 用 公开 密 钥 算法 的 主要 技术 产生 别人 无 法 伪造 的 一 段 数据 串 。 发 送 者 
用 自己 的 私有 密 钥 加 密 数 据 后 传 给 接收 者 ,接收 者 用 发 送 者 的 公 钥 解 开 数据 后 ,就 可 以 确 
定 消息 来 自 于 谁 , 同 时 也 是 对 发 送 者 发 送 的 信息 的 真实 性 的 一 个 证 明 ,发 送 者 对 所 发 信息 
不 能 抵赖 。 

简单 数字 签名 原理 如 图 6. 9 所 示 。 带 加 密 的 数字 签名 原理 如 图 6. 10 所 示 。 


原始 信息 


Hash 算 法 


Hash 值 


Hash 算 法 


说 人 


解密 上 一 一 | Hash 什 
发 送 方 接收 广 
图 6.9 简单 数字 签名 原理 


使 用 公共 密 钥 加 密 算法 对 信息 进行 加 密 是 非常 耗 时 的 ,因此 加 密 人 员 想 出 了 一 种 办 
法 来 快速 地 生成 一 个 代表 报 文 的 简短 的 、 独 特 的 报 文摘 要 ,这 个 摘要 可 以 被 加 密 并 作为 数 
字 答 名。 通常, 使 用 6. 3 节 介 绍 的 散 列 函数 产生 报 文摘 要 。 散 列 函数 不 使 用 密 钥 , 它 只 是 
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消息 认证 和 散 列 函数 


,oo 
原始 信息 一 -| | 一 |。 原始 信息 
Hash 算 法 Hash 算 法 
Hash 值 和 [| Hash 值 
Grey 息 息 2 a 
| 
发 送 方 > > 接收 方 


接收 者 公 钥 ”接收 者 私 钥 
图 6.10 带 加 密 的 数字 签名 原理 


把 任意 长 度 的 一 个 报 文 转化 为 一 个 叫做 报 文摘 要 的 简单 字符 串 。 

如 图 6.9 所 示 ,假设 发 送 者 A 对 他 的 报 文 计算 一 个 消息 摘要 ,然后 用 他 的 私有 密 钥 
对 报 文摘 要 进行 加 密 构成 数字 签名 ,并 把 数字 签名 和 原文 一 起 发 送 给 B。 当 B 使 用 A 的 
公开 密 钥 解密 数字 签名 ,他 就 得 到 了 A 的 报 文摘 要 的 一 个 备份 ,因为 他 能 够 用 A 的 公开 
密 钥 对 数字 签名 进行 解密 。 他 知道 是 A 产生 的 ,这 样 就 验证 了 发 送 者 的 身份 。 然 后 也 使 
用 相同 的 散 列 函 数 (在 先前 就 协商 好 的 ) 来 计算 A 发 送 来 的 明文 的 报 文摘 要 。 如 果 他 计 
算出 来 的 摘要 和 A 发 送 给 他 的 摘要 是 相同 的 ,这 样 他 就 可 以 确认 数字 签名 是 正确 的 ,这 
不 仅 意 味 着 是 A 发 送 的 报 文 ,而 且 报 文 在 发 送 的 过 程 中 没有 发 生 改变 。 一 个 相同 的 报 文 
摘要 意味 着 报 文 没有 被 改变 ,这 种 方法 是 报 文本 身 是 作为 明文 的 形式 发 送 的 ,因此 没有 达 
到 保密 的 要 求 。 如 果 想 达到 保密 的 要 求 ,我 们 可 以 使 用 对 称 加 密 算 法 来 加 密 报 文 的 明文 
部 分 ,如 图 6. 10 所 示 。 其 实 这 个 过 程 在 前 面 一 节 的 散 列 函 数 中 已 有 介绍 ,如 图 6. 5(a) 
所 示 。 


6.4.2 数字 签名 流程 


在 实际 应 用 中 ,数字 签名 的 过 程 通常 这 样 实现 : 

(1) 采用 散 列 算法 对 原始 报 文 进行 运算 ,得 到 一 个 固定 长 度 的 数字 串 , 称 为 报 文摘 要 
(message digest) ,不 同 的 报 文 所 得 到 的 报 文摘 要 各 异 , 但 对 相同 的 报 文 它 的 报 文摘 要 却 
是 唯一 的 。 在 数学 上 保证 ,只 要 改动 报 文中 任何 一 位 ,重新 计算 出 的 报 文摘 要 值 就 会 与 原 
先 的 值 不 相符 ,这 样 就 保证 了 报 文 的 不 可 更 改 性 。 

(2) 发 送 方 生成 报 文 的 报 文摘 要 ,用 自己 的 私有 密 钥 对 摘要 进行 加 密 来 形成 发 送 方 
的 数字 签名 。 

(3) 这 个 数字 签名 将 作为 报 文 的 附件 和 报 文 一 起 发 送 给 接收 方 。 

(4) 接收 方 首先 从 接收 到 的 原始 报 文中 用 同样 的 算法 计算 出 新 的 报 文摘 要 ,再 用 发 
送 方 的 公开 密 钥 对 报 文 附件 的 数字 签名 进行 解密 ,比较 两 个 报 文摘 要 ,如 果 值 相同 ,接收 
方 就 能 确认 该 数字 签名 是 发 送 方 的 且 报 文 未 被 自 改 ,否则 就 认为 收 到 的 报 文 是 伪造 的 或 
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者 中 途 被 自 改 了 。 
数字 签名 的 过 程 如 图 6. 11 所 示 。 


信息 发 送 方 A 信息 接收 方 B 
了 1. 没 有 自 改 
| 2? 
列 算法 | 1 39 - | gl39. 
A A 6 2 新 摘要 
gl39vz | 摘要 
amp4x 本 
7 5 散 列 算法 
(A 2 A 的 公 钥 
A 的 私 钥 1 
入 必 
Ourji9 你 好 ! Ourjj9 你 好 ! 
TRr%98 A rRr%9S A 
数字 签名 原文 数字 签名 原文 


| 3 | 


图 6.11 数字 签名 的 过 程 


实现 数字 签名 有 很 多 方法 ,目前 数字 签名 采用 较 多 的 是 公 钥 加 密 技术 ,如 基于 RSA 
Data Security 公司 的 PKCS (Public Key Cryptography Standards) 、DSA (Digital 
Signature Algorithm) 、X. 509 ,PGP(Pretty Good Privacy) 。1994 年 美国 标准 与 技术 协会 
公布 了 数字 签名 标准 (Digital Signature Standard,DSS) 从 而 使 公 钥 加 密 技 术 广 泛 应 用 。 
应 用 散 列 算法 也 是 实现 数字 签名 所 需要 的 一 种 方法 。 


习题 


1. 说 明 消息 认证 的 作用 和 应 用 场合 。 

2. 描述 消息 认证 码 和 散 列 函数 的 差异 。 

3. 可 以 基于 DES 算法 实现 消息 认证 码 , 那 如 何 使 用 DES 作为 安全 散 列 函数 ? 注意 
安全 散 列 函数 不 使 用 密 钥 。 

4. 假设 一 个 散 列 函数 产生 12 位 的 输出 ,如 果 你 随机 选择 2 个 消息 计算 散 列 值 , 可 
以 找到 碰撞 吗 ? 预计 找到 碰撞 的 可 能 性 有 多 大 ? 注意 生日 攻击 对 于 散 列 函数 的 威胁 。 

5. 解释 SHA 安全 散 列 函数 处 理 消息 的 基本 步 又 。 
. HMAC 的 设计 目标 是 什么 ? 
. 数字 签名 有 什么 作用 ? 主要 应 用 在 哪些 场合 ? 
. 描述 数字 签名 的 基本 原理 。 
. 请 描述 数字 签名 的 流程 。 
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第 7 章 鉴别 和 密 铀 分 配 协议 


鉴别 技术 保证 了 在 信息 传送 过 程 中 能 够 正确 地 鉴别 出 信息 发 送 方 的 身份 ,并 且 对 信 
息 内 容 的 任何 修改 都 可 以 被 检测 出 来 。 利 用 对 称 加 密 算 法 和 公开 加 密 算 法 都 可 以 进行 
鉴别 。 

因为 对 加 密 明 文 的 保密 主要 依赖 于 密 钥 的 保密 ,因此 密 钥 的 管理 问题 是 密码 学 ,甚至 
是 网 络 信息 安全 研究 中 非常 重要 的 问题 。 密 钥 的 管理 涉及 密 钥 的 生成 .分配 、 使 用 、 存 储 、 
备份 .恢复 以 及 销毁 等 多 个 方面 ,涵盖 了 密 钥 的 整个 生存 周期 。 其 中 如 何 分 配 已 生成 的 密 
钥 是 密码 学 领域 的 难点 问题 ,同样 利用 对 称 加 密 算法 和 公开 加 密 算法 都 可 以 实现 密 钥 
分 配 。 

本 章 重 点 介绍 Needham-Schroeder 协议 及 其 改进 协议 ,同时 介绍 如 何 对 电子 邮件 进 
行 单 向 鉴别 。 其 次 重点 介绍 如 何 安 全 分 配对 称 密 钥 和 公开 密 钥 ,这 里 面 也 涉及 Needham- 
Schroeder 协议 。 


7.1 鉴别 协议 


鉴别 指 两 个 或 多 个 实体 之 间 建 立身 份 认证 的 过 程 , 是 证 实 信息 交换 过 程 有 效 性 和 合 
法 性 的 一 种 手段 ,包括 对 通信 对 象 的 鉴别 和 对 通信 内 容 的 鉴别 。 目 前 绝 大 多 数 的 鉴别 方 
法 都 是 基于 加 密 技 术 的 ,利用 对 称 加 密 方法 和 公开 加 密 方法 都 可 以 进行 鉴别 。 

在 鉴别 过 程 中 很 容易 出 现 重 放 攻 击 , 即 攻击 者 发 送 一 个 目的 主机 已 接收 过 的 包 ,来 达 
到 欺骗 目的 主机 的 目的 。 在 最 坏 的 情况 下 ,攻击 者 可 以 重 放 一 个 会 话 密 钥 或 者 成 功 地 冒 
充 另 一 方 ;情况 好 一 点 时 ,一 个 成 功 的 重 放 可 以 提供 看 似 正确 其 实 并 不 正确 的 消息 ,这 至 
少 可 以 扰乱 正常 的 操作 。 

一 个 常见 的 对 付 重 放 的 方法 是 在 待 发 送 的 鉴别 消息 中 增加 一 项 : 现时 (nonce)。 现 
时 是 一 个 仅 使 用 一 次 的 数 ,在 鉴别 协议 中 被 广泛 应 用 , 它 既 可 以 是 一 个 序列 号 ,也 可 以 是 
随机 数 或 时 间 戳 

(1) 随机 数 性 质 最 好 ,因为 它 不 可 猜测 和 预测 ,但 它 不 适合 无 连接 的 应 用 。 

(2) 使 用 时 间 截 则 要 求 双 方 的 时 钟 同 步 ,在 分 布 式 环境 中 有 一 定 的 困难 ;而 且 使 用 它 
的 协议 必须 能 容错 ,可 以 抗 恶 意 攻 击 。 

(3) 使 用 序列 号 则 要 求 通信 的 每 一 方 都 要 记 住 其 他 各 方 与 其 通信 时 的 最 后 一 个 序列 
号 ,比较 难以 实现 ;还 要 求 产生 它 的 系统 是 抗 毁 的 ,即使 系统 崩溃 ,序列 号 也 不 会 出 错 。 

Nonce 的 选用 希望 做 到 用 户 可 以 区 别 它们 的 不 同 ,而 攻击 者 无 法 伪造 或 猜测 ,从 而 增 
加 重 放 和 冒充 的 难度 。 

对 通信 对 象 的 鉴别 分 为 单 向 鉴别 和 双向 鉴别 ,下 面 分 别 加 以 讨论 。 
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7.1.1 Needham-Schroeder 双向 鉴别 协议 


双向 鉴别 技术 保证 了 在 信息 传送 过 程 中 通信 双方 能 够 正确 地 鉴别 出 对 方 的 身份 ,而 
且 对 信息 内 容 的 任何 修改 都 可 以 被 检测 出 来 ,还 同时 可 以 交换 会 话 密 钥 , 用 于 保证 信息 的 
安全 传输 。 

进行 双向 鉴别 不 得 不 从 Needham-Schroeder 协议 谈 起 。 这 个 经 典 的 协议 由 Roger 
Needham 和 Michael Schroeder 发 明 , 采 用 pie 分 配 中 心 KDC 技术 。 

尽管 这 个 协议 本 身 存在 一 定 的 安全 漏洞 ,但 后 来 发 展 的 很 多 鉴别 协议 都 是 在 它 的 基础 上 

扩展 而 成 的 ,包括 非常 有 名 的 Kerberos 协议 。 

可 以 通过 两 层 对 称 加 密 结 构 来 实现 Needham-Schroeder 协议 ,以 实现 分 布 式 环境 中 
的 双向 鉴别 和 密 钥 分 配 。 通 常 来 说 ,这 种 方法 需要 使 用 一 个 可 信任 的 密 钥 分 配 中 心 
(KDC) 。 网 络 中 通信 的 每 一 方 都 分 别 与 KDC 共享 一 个 密 钥 称 为 主 密 钥 ( 该 密 钥 已 经 通 
过 其 他 方法 安全 分 发 ),KDC 负责 产生 通信 双方 通信 时 短期 使 用 的 会 话 密 钥 ,并 且 通 过 主 
密 钥 来 保护 会 话 密 钥 的 分 发 。 这 种 方法 使 用 得 非常 普遍 ,Kerberos 系统 中 使 用 的 也 是 这 
种 方法 。 

图 7.1 给 出 了 Needham-Schroeder 协议 的 双向 鉴别 和 密 钥 分 配 过 程 ,该 协议 的 具体 
步骤 可 归纳 如 下 : 


(DIDAIIDalA 


(2) ER:IRJIDelINNIERo [KIDA DD) 


3) E(Kb. [KIDAD) 
(4) E(K,,N,) 
(5) EC(K,, NA 
图 7.1 Needham-Schroeder 协议 的 双向 鉴别 和 密 钥 分 配 过 程 


(1) A—>KDC: ID, | IDs | N, 
(2) KDC—>A: E(K,,[K, | IDa | N | ECK,, CK, | IDA DJ) 


(3) A—>B: E(K,, [K, | IDA]) 
(4) B->A， ER Ny 
(5) A—B: E(K,, f(N;,)) 


实际 上 ,到 步骤 (3) 已 经 完成 会 话 密 钥 的 分 配 过 程 ,通信 的 双方 已 经 共享 了 新 的 会 话 
密 钥 K,, 步 又 (4) 到 步骤 (5) 则 进一步 实现 了 鉴别 功能 。 
天 .和 K, 分 别 是 A、B 和 KDC 共享 的 密 钥 ,该 协议 的 目的 就 是 将 会 话 密 钥 K, 安全 
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地 分 发 给 A 和 B。 在 步骤 (2) 中 A 安全 地 获得 新 的 会 话 密 钥 K,, Ni 说 明 该 报 文 不 是 以 
前 协议 的 重 放 。 步 骤 (3) 中 的 消息 只 能 被 B 解 密 , 使 得 通信 方 A 证 实 对 方 是 通信 方 B, 解 
密 后 报 文中 的 IDA 使 得 通信 方 B 证 实 对 方 是 通信 方 A。 步 骤 (4) 说 明 也 已 经 知道 了 开 ,， 
步骤 (5) 使 B 确 信人 A 也 知道 了 K,, 由 于 使 用 了 现时 /(N;),B 确信 这 是 一 条 新 的 消息 。 
步骤 (4) 和 步骤 (5) 的 加 入 是 为 了 防止 某 种 简单 类 型 的 重 放 攻击 ,特别 是 攻击 者 截获 了 步 
又 (3) 中 的 报 文 并 直接 重 放 该 报 文 。 

尽管 Needham-Schroeder 协议 已 经 考虑 了 重 放 攻击 ,但 是 设计 一 个 完美 的 没有 漏洞 
的 鉴别 协议 往往 是 很 困难 的 。 尽 管 有 步骤 (4) 和 步骤 (5) 的 握手 ,该 协议 仍然 容易 受到 重 
放 攻 击 。 假 设 攻击 者 X 已 经 获得 了 一 个 旧 的 会 话 密 钥 。 虽 然 出 现 这 种 情况 的 概率 比 攻 
击 者 只 是 简单 地 截获 步骤 (3) 中 的 消息 的 概率 小 得 多 ,但 这 也 是 一 个 潜在 的 安全 威胁 。 
X 可 以 假冒 A 重 放 步 又 (3) 中 的 消息 诱 使 B 使 用 旧 的 会 话 密 钥 进行 和 通信。 除非 B 明确 地 
记得 以 前 与 A 通信 时 所 用 的 所 有 会 话 密 钥 ,否则 不 能 判断 这 是 否 是 一 个 重 放 。 如 果 X 可 
以 截获 步骤 (4) 中 的 握手 消息 ,就 可 以 模仿 步骤 (5) 中 A 的 应 答 。 从 这 时 起 ,X 可 以 发 送 
伪造 的 消息 给 B, 而 B 以 为 这 是 A 使 用 才 分 发 的 会 话 密 钥 加 密 发 送 过 来 的 消息 。 


7.1.2 改进 的 Needham-Schroeder 协议 


Denning 针对 这 个 问题 对 Needham-Schroeder 协议 进行 了 改进 ,在 步骤 (2) 和 步骤 
(3) 中 加 入 了 一 个 时 间 戳 。 在 改进 的 协议 中 假定 主 密 钥 K, 和 K。 是 安全 的 , 它 包 括 下 列 
几 个 步骤 : 

(1) A>KDC: IDa | IDs 

(2) KDC—>A: E(K,,[L K, | IDs | TIECK,, LK, | Ds TD 


(3) A—B: E(K,, [K, | IDa || TJ) 
(4) B>A: E(K,, Ni) 
(5) A—B: E(K,, f(N1)) 


时 间 稚 全 使 A 和 B 确信 该 会 话 密 钥 是 刚刚 产生 的 ,这 样 ,A 和 B 都 知道 此 次 交换 的 
是 一 个 新 的 会 话 密 钥 。 因 为 时 间 惟 是 使 用 安全 的 主 密 钥 加 密 的 ,一 个 攻击 者 即使 知道 
一 个 旧 会 话 密 钥 ,也 不 能 成 功 地 重 放 步 又 (3) 中 的 消息 ,因为 B 可 以 根据 消息 的 及 时 性 检 
测 出 步骤 (3) 中 的 消息 是 重 放 。 

Denning 协议 看 上 去 比 Needham-Schroeder 协议 提供 了 更 高 的 安全 性 ,但 是 一 个 新 
的 问题 又 出 现 了 : 也 就 是 说 ,这 个 新 的 方案 需要 依赖 时 钟 ,而 这 些 时 钟 应 在 整个 网 络 上 保 
持 同 步 。 当 时 钟 或 同步 机 制 出 错 或 者 被 破坏 时 ,分 布 的 时 钟 可 能 会 不 同步 。 当 发 送 者 的 
时 钟 超前 于 接收 者 的 时 钟 , 一 个 攻击 者 可 以 截获 发 送 者 发 出 的 消息 ,并 在 消息 中 的 时 间 截 
是 接收 方 的 当前 时 间 时 重 放 这 条 消息 ,这 种 攻击 会 引起 不 可 预测 的 结果 ,Gong 称 这 种 攻 
击 为 “禁止 - 重 放 攻 击 ”。 

下 面 的 改进 协议 同时 解决 了 “禁止 - 重 放 攻击 ”和 Needham-Schroeder 协议 中 存在 的 
问题 ,该 协议 如 下 : 

(1) A>B: IDA | N。 


阴 分 配 协 议 
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(2) B>KDC: IDs | Ns || ECK,, [IDs || N, To) 

(3) KDC—>A: EC(K,, [IDs | N, || K, || Ts) | ECK, ,LIDA | K, | TD) | Ns, 

(4) A—B: E(K,, [IDa || K, | Te]) || ECK,,N',) 

下 面 一 步 一 步 地 来 介绍 该 协议 : 

(1) A 初始 化 该 认证 交换 。 产 生 一 个 现时 N, ,并 将 其 标识 和 N, 一 起 以 明文 的 形式 
发 送 给 B。 该 现时 将 和 会 话 密 钥 等 一 起 被 加 密 后 返回 给 A, 向 A 保证 消息 的 及 时 性 。 

(2) B 向 KDC 申请 一 个 会 话 密 钥 。 发 送 给 KDC 的 消息 中 包含 它 的 标识 和 一 个 现时 
Ns, 这 个 现时 将 和 会 话 密 钥 等 一 起 被 加 密 后 返回 给 B, 向 B 保 证 该 消息 的 及 时 性 。B 发 送 
给 KDC 的 消息 中 还 包含 用 B 和 KDC 共享 的 主 密 钥 加 密 后 的 消息 ,该 消息 用 于 请 求 KDC 
给 A 发 证 书 ,消息 中 指定 了 证 书 的 接收 方 、 证 书 的 使 用 期 限 和 从 A 那里 收 到 的 现时 。 

(3) KDC 将 B 的 现时 用 B 和 KDC 共享 的 主 密 钥 加 密 的 消息 分 组 发 送 给 A。 待 会 可 
以 看 到 ,该 消息 相当 于 为 A 的 后 续 认 证 提供 了 一 张 “证 明 书 ”。KDC 也 向 A 发 送 了 一 个 
用 A 和 KDC 共享 的 主 密 钥 加 密 的 消息 ,该 消息 证 明 B 曾经 收 到 过 A 的 初始 化 消息 
(IDs) ,说 明 该 消息 是 及 时 的 ,而 不 是 一 个 重 放 (N,), 同 时 向 A 提供 了 会 话 密 钥 (K,), 和 
该 会 话 密 钥 的 使 用 期 限 (T,)。 

(4) A 将 证 明 书 和 B 的 现时 同时 传送 给 B, 后 者 用 会 话 密 钥 加 密 。 该 证 明 书 向 B 提 
供 了 用 于 解密 E(K,, NN,) 的 密 钥 而 获得 现时 N,。 用 会 话 密 钥 加 密 B 的 现时 保证 了 这 是 
来 自 于 A 的 非 重 放 消息 。 

这 个 协议 提供 了 A 和 B 通过 会 话 密 钥 建 立会 话 的 安全 有 效 手段 。 而 且 , 该 协议 使 A 
拥有 一 个 可 向 B 进行 后 续 认 证 的 “证明 书 ”, 避 免 了 重复 与 认证 服务 器 KDC 联系 。 假 如 
A 和 B 使 用 上 述 协 议 建立 一 个 会 话 并 且 结 束 了 会 话 ,随后 在 该 协议 所 规定 的 有 效 期 内 ,人 A 
又 想 和 B 建立 一 个 新 的 会 话 , 则 可 以 使 用 下 面 的 协议 : 

(1) A—>B: E(K,, [IDA KN TDI N', 

(2) B>A: Ne ECK,,N’.) 

(3) A—B: E(K,,N',) 

当 B 接收 到 步骤 (1) 中 的 消息 时 ,可 以 验证 证 书 还 没有 失效 。 新 产生 的 现时 N' 和 Ni 使 
通信 双方 确定 没有 重 放 攻 击 。 注 意 在 前 面 的 讨论 中 ,Th 指定 的 只 是 相对 于 B 的 时 钟 的 时 
间 ,因此 该 时 间 惟 并 不 要 求 时 钟 同步 ,因为 也 只 校 验 自身 产生 的 时 间 戳 。 

但 是 该 协议 的 设计 中 也 有 许多 不 足 : 这 个 协议 依赖 于 KDC 的 绝对 安全 性 。KDC 更 
可 能 是 可 信和 的 计算 机 程序 ,而 不 是 可 信 的 个 人 ,如 果 一 个 攻击 者 破坏 了 KDC, 整 个 网 络 都 
会 遭受 损害 。 他 获得 了 KDC 与 每 个 用 户 共享 的 所 有 主 密 钥 后 ,就 可 以 读 取 所 有 过 去 和 
将 来 的 通信 业务 。 另 外 一 个 问题 就 是 KDC 可 能 会 成 为 瓶颈 ,如 果 KDC 失效 了 ,整个 系 
统 都 会 被 破坏 。 

从 Needham-Schroeder 鉴别 协议 的 改进 过 程 可 以 看 出 ,设计 真正 安全 实用 的 鉴别 协 
议 是 十 分 困难 的 。 不 同 的 假设 条 件 、 不 同 的 网 络 环境 ,会 产生 不 同安 全 等 级 的 鉴别 协议 , 
真正 安全 的 鉴别 协议 一 定 需要 通过 理论 的 证 明和 实际 应 用 的 检验 。 目 前 ,鉴别 协议 的 理 
论证 明 仍然 是 一 项 值得 研究 的 课题 。 
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鉴别 和 密 钥 分 本 协议 


7.1.3 单 向 鉴别 协议 


我 们 以 对 电子 邮件 的 鉴别 讨论 单 向 鉴别 协议 的 应 用 ,电子 邮件 的 基本 特性 是 : 与 
Web 应 用 不 同 , 它 不 需要 发 送 方 和 接收 方 同时 在 线 ( 即 单 向 性 )。 电 子 邮件 消息 发 送 到 接 
收 者 的 电子 邮箱 ,并 一 直 保 存在 里 面 直到 接收 者 去 阅读 。 

首先 ,“ 信 封 "或 者 电子 邮件 消息 的 头 必须 是 明文 形式 ,这 样 诸如 简单 邮件 传输 协议 
(SMTP) 或 X. 400 这 些 存 储 一 转发 邮件 协议 才能 够 处 理 它们 。 因 此 ,只 有 电子 邮件 消息 
内 容 需 要 被 加 密 , 而 且 邮 件 处 理 系 统 不 需要 拥有 解密 密 钥 。 第 二 个 要 求 就 是 鉴别 ,一 般 来 
说 ,接收 者 希望 能 够 保证 ,其 接收 到 的 消息 来 自 合 法 的 发 送 者 。 


1. 使 用 对 称 加 密 算法 


考虑 到 应 该 避免 要 求 发 送 方 A 和 接收 方 B 同时 在 线 , 对 Needham-Schroeder 协议 进 
行 一 些 细微 的 修改 后 ( 即 不 需要 步骤 (4) 和 步骤 (5)) ,就 可 以 将 它 用 于 电子 邮件 的 单 向 鉴 
别 中 。 对 于 明文 的 电子 邮件 消息 M 来 说 ,修改 后 的 协议 如 下 : 

(1) A>KDC: IDa IIDa | N, 

(2) KDC—>A: E(K,, [K, | IDs| Ni | ECK,, CK, IDADYD 

(3) A—B: E(K,, [K, | IDAD I EC(K,, M) 

这 种 协议 保证 了 只 有 消息 的 合法 接收 者 才能 够 阅读 该 消息 ,同时 它 也 提供 了 单 向 鉴 
别 : 证 实 发 送 者 就 是 A。 但 是 该 协议 当然 也 不 能 抗 重 放 攻击 。 另 外 ,就 算 在 消息 中 加 入 
一 个 时 间 戳 ,由 于 电子 邮件 本 身 存在 洪 在 的 延 时 ,所 以 时 间 戳 的 作用 非常 有 限 。 


2. 使 用 公开 加 密 算法 


公开 加 密 算法 适合 保证 电子 邮件 传输 的 安全 性 , 它 既 能 够 保证 消息 的 机 密 性 ,也 能 够 
鉴别 消息 的 通信 方 ,或 者 两 者 都 保证 。 
(1) 如 果 只 需要 保证 消息 的 机 密 性 ,需要 发 送 的 报 文 如 下 : 
A—>B:E(PUs,K.) ‖ E(K..M) 
A 使 用 会 话 密 钥 KK, 加密 消息 M, 同 时 使 用 B 的 公 钥 PUs 对 天. 加 密 。 只 有 B 才能 
用 自己 的 私 钥 来 获得 K,, 然 后 用 天, 解密 该 消息 ,这 种 方法 比 直接 用 B 的 公 钥 加 密 消息 
本 身 的 效率 高 多 了 。 
(2) 如 果 只 需要 实现 鉴别 ,数字 签名 就 足够 了 ,需要 发 送 的 报 文 如 下 : 
A-~B: MI ECOPRA, H(M)) 
这 种 方法 保证 了 B 相信 报 文 是 A 发 送 的 (其 他 人 不 能 假冒 A 发 送 ) ,也 保证 了 A 以 
后 不 能 否认 曾经 发 过 这 条 消息 。 这 种 方法 不 但 不 能 保证 消息 的 机 密 性 ,而 且 攻 击 者 把 最 
外 面 A 的 签名 去 掉 , 代 之 以 自己 的 私 钥 签 名 也 是 可 能 的 ,这 样 B 就 会 误 认 为 消息 是 攻击 
者 发 送 的 。 
(3) 如 果 需 要 同时 实现 鉴别 和 机 密 性 ,消息 和 签名 再 用 接收 者 的 公 钥 来 加 密 : 
A—>B: E(PUs, [M | ECPRA. COM)]) 
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(4) 如 果 同 时 需要 提高 加 密 效率 ,还 需要 使 用 下 面 的 数字 信封 技术 (结合 使 用 对 称 加 
密 和 公开 加 密 ) ,其 实 下 面 这 个 公式 就 是 PGP 加 密 系统 的 一 种 形式 化 表达 方式 : 
A—>B:E(PUs, K.) ‖ E(K., [MI ECOPRA， 互 (M))]) 


7.2 密 钥 分 配 协议 


目前 ,大 部 分 加 密 算 法 都 已 经 公开 , 像 AES 和 RSA 等 加 密 算 法 甚至 作为 国际 标准 来 
推行 。 因 此 明文 的 保密 在 相当 大 的 程度 上 依赖 于 密 钥 的 保密 。 虽 然 设计 安全 的 密 钥 算法 
和 协议 是 不 容易 的 ,但 可 以 依靠 大 量 的 学 术 研 究 。 相 对 来 说 ,对 密 钥 进 行 保密 显得 更 加 困 
难 。 如 何 安 全 可 靠 、 迅 速 高 效 地 分 配 密 钥 ,如 何 管理 密 钥 一 直 是 密码 学 领域 的 重要 研究 
课题 。 

因为 对 称 加 密 算 法 和 公开 加 密 算法 的 密 钥 性 质 不 同 , 所 以 在 密 钥 分 配 上 存在 的 问题 
也 不 同 : 要 使 对 称 加 密 有 效 地 进行 ,通信 双方 必须 共享 一 个 密 钥 ,这 个 密 钥 还 要 防止 被 他 
人 获得 ;要 使 公开 加 密 有 效 地 进行 ,通信 双方 必须 发 布 其 公 钥 ,并 防止 其 私 钥 被 其 他 人 获 
得 。 此 外 , 密 钥 还 需 经 常 更 换 , 以 便 在 攻击 者 知道 密 钥 的 情况 下 使 得 泄露 的 数据 量 最 小 。 
在 实际 使 用 中 ,对 于 通信 的 双方 A 和 了 B, 密 钥 的 分 配 可 以 有 以 下 几 种 方法 : 

(1) 密 钥 可 以 由 A 选 定 ,然后 通过 物理 的 方法 安全 地 传递 给 B。 

(2) 密 钥 可 以 由 可 信任 的 第 三 方 C 选 定 ,然后 通过 物理 的 方法 安全 地 传递 给 A 和 B。 
上 述 两 种 方法 由 于 都 需要 对 密 钥 进行 人 工 传递 ,对 于 大 量 连接 的 现代 通信 而 言 ,显然 不 
适用 。 

(3) 如 果 A 和 B 都 有 一 个 到 可 信任 的 第 三 方 C 的 加 密 连 接 , 那 么 C 就 可 以 通过 加 密 
连接 将 密 钥 安全 地 传递 给 A 和 B。 可 以 采用 密 钥 分 配 中 心 KDC 技术 ,可 信任 的 第 三 方 
C 就 是 KDC, 这 种 方法 常用 于 对 称 密 钥 的 分 配 。 

(4) 如 果 A 和 B 都 由 可 信任 的 第 三 方 发 布 自己 的 公开 密 钥 , 它 们 就 可 用 彼此 地 公开 
密 钥 来 加 密 通 信 。 可 以 采用 密 钥 认 证 中 心 技 术 , 可 信任 的 第 三 方 C 就 是 证 书 授权 中 心 
CA ,这 种 方法 多 用 于 公开 密 钥 的 分 配 。 


7.2.1 对 称 密 钥 的 分 配 


1. 集中 式 密 钥 分 配方 案 


由 一 个 中 心 节点 ( 即 KDC) 或 者 由 一 组 节点 组 成 层次 结构 负责 密 钥 产 生 并 分 配给 通 
信 双 方 。 用 户 不 需要 保存 大 量 的 会 话 密 钥 ,只 需 保 存 同 中 心 节点 的 加 密 主 密 钥 ,用 于 安全 
传送 由 中 心 节点 产生 的 即将 用 于 与 另 一 方 通信 的 会 话 密 钥 。 这 种 方式 缺点 是 通信 量 大 ， 
同时 需要 较 好 的 鉴别 功能 以 鉴别 中 心 节点 和 通信 方 。 

目前 使 用 的 主流 技术 是 密 钥 分 配 中 心 KDC 技术 ,前 面 介 绍 的 Needham-Schroeder 
协议 就 是 这 样 的 一 种 集中 式 密 钥 分 配方 案 。 它 既 具 有 良好 的 鉴别 功能 ,又 能 使 用 主 密 钥 
加 密 对 称 的 会 话 密 钥 ,实现 它 的 安全 分 发 。 协 议 的 具体 细节 就 不 再 介绍 ,下 面 讨 论 集 中 式 
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鉴别 和 密 钥 分 本 协议 


密 钥 分 配方 案 存 在 的 问题 。 

单个 密 钥 分 配 中 心 KDC 无 法 支持 大 型 的 通信 和 网络 。 因 为 每 两 个 可 能 要 进行 安全 通 
信 的 终端 都 必须 同 某 个 密 钥 分 配 中 心 共享 主 密 钥 ,所 以 当 通信 的 终端 数量 很 大 时 ,这 样 做 
是 不 切实 际 的 。 解 决 这 种 问题 的 方案 如 下 : 

(1) 为 了 同时 支持 没有 共同 密 钥 分 配 中 心 的 终端 之 间 的 密 钥 信息 的 传输 ,可 以 建立 
一 系列 的 密 钥 分 配 中 心 , 各 个 密 钥 分 配 中 心 之 间 存 在 层次 关系 。 

(2) 各 个 密 钥 分 配 中 心 按 一 定 方式 进行 协作 ,这 样 , 一 方面 主 密 钥 分 配 所 涉及 的 工作 
量 减 至 最 少 , 另 一 方面 某 个 KDC 失效 时 ,只 影响 其 管辖 区 域 ,而 不 至 于 影响 全 局 。 

另外 ,应 注意 会 话 密 钥 有 效 期 的 设置 。 会 话 密 钥 更 换 得 越 频繁 ,系统 的 安全 性 也 就 越 
高 。 但 是 另 一 方面 ,频繁 更 换 会 话 密 钥 会 造成 网 络 负担 ,延迟 用 户 之 间 的 交换 。 因 此 ,在 
决定 其 有 效 期 时 ,应 权衡 矛盾 的 两 个 方面 。 


2. 分 散 式 密 钥 分 配方 案 


使 用 KDC 进行 密 钥 分 配 要 求 KDC 是 可 信任 的 并 且 应 该 保护 它 免 于 被 破坏 。 如 果 
KDC 被 破坏 ,那么 所 有 依靠 该 KDC 分 配 会 话 密 钥 进行 通信 的 所 有 通信 方 将 不 能 进行 正 
常 的 安全 通信 。 如 果 KDC 被 控制 ,那么 所 有 依靠 该 KDC 分 配 会 话 密 钥 进行 通信 的 所 有 
通信 方 传递 的 信息 将 被 窃听 。 

解决 方案 是 : 把 单个 KDC 分 散 成 几 个 KDC ,将 会 降低 这 种 风险 ;更 进一步 ,把 几 个 
KDC 分 散 到 所 有 的 通信 方 , 即 每 个 通信 方 同 时 也 是 密 钥 分 配 中 心 ,自己 保存 同 其 他 所 有 
通信 方 的 主 密 钥 。 分 散 式 密 钥 分 配方 案 如 图 7. 2 所 示 ,会 话 密 钥 分 配 过 程 如 下 : 


(1)1DAIIN 
CO EMR [KIIDA DG ANIN:D 
GB) E(K, AN 
图 7.2 分 散 式 对 称 密 铀 分 配方 案 


(1) A—>B: IDA | N， 
A 给 BB 发 出 一 个 要 求 会 话 密 钥 的 请 求 , 报 文 内 容 包 括 A 的 标识 符 IDAs 和 一 个 现时 
,告知 A 希望 与 B 进 行 通信 ,并 请 B 产 生 一 个 会 话 密 钥 用 于 安全 通信 。 
(2) B>A: EC(MKu, [K, | IDa || IDs || /CN 1 Nz]) 
B 使 用 一 个 用 A 和 B 共享 的 主 密 钥 MKw 加 密 的 报 文 进行 响应 。 响 应 的 报 文 包括 : 
B 产生 的 会 话 密 钥 、A 的 标识 符 IDA 、B 的 标识 符 IDs 、f(Ni) 的 值 、 男 一 个 现时 N;。 
(3) A—>B: E(K,, [f(N2)]) 
A 使 用 BB 产生 的 会 话 密 钥 K, 对 /(N;) 进 行 加 密 ,返回 给 B。 
这 种 方案 要 求 有 个 通信 方 的 网 络 要 保存 [n(n 一 1)/2j 个 主 密 钥 。 对 于 很 大 的 网 络 ， 
这 种 只 用 对 称 加 密 算法 来 实现 分 散 式 密 钥 分 配 的 方案 是 不 实际 的 ,但 对 于 小 型 网 络 或 大 
型 网 络 的 局 部 范围 ,该 分 散 式 方案 可 行 。 
它 的 优点 是 虽然 每 个 通信 方 都 必须 保存 多 达 (n 一 1) 个 主 密 钥 ,但 是 需要 多 少 会 话 密 
钥 就 可 以 产生 多 少 。 其 中 使 用 主 密 钥 加 密 的 报 文 很 少 ,所 以 对 主 密 钥 的 分 析 很 困难 。 而 
会 话 密 钥 虽 然 加 密 的 报 文 很 多 ,但 它 只 使 用 有 限时 间 , 所 以 也 不 易 被 攻破 ,即使 被 攻破 对 
系统 安全 的 危害 也 不 大 。 


N 
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7.2.2 公开 密 钥 的 分 配 


公开 密 钥 的 分 配 要 求 和 对 称 密 钥 的 分 配 要 求 有 着 本 质 的 区 别 。 公 开 加 密 技 术 使 得 密 
钥 较 易 分 配 , 但 它 也 有 自己 的 问题 。 获 取 一 个 人 的 公开 密 钥 有 如 下 4 种 途径 : 

(1) 公开 密 钥 的 公开 宣布 

任何 参与 者 都 可 以 将 他 的 公开 密 钥 发 送 给 另外 任何 一 个 参与 者 ,或 者 把 这 个 密 钥 广 
播 给 相关 人 群 。 例 如 ,PGP 中 很 多 用 户 就 可 将 自己 的 公 钥 附加 到 消息 上 ,发 送 到 公开 区 
域 。 该 途径 有 致命 的 漏洞 : 任何 人 都 可 以 伪造 一 个 公开 的 告示 ,冒充 其 他 人 ,发 送 一 个 公 
开 密 钥 给 另 一 个 参与 者 或 者 广播 这 样 一 个 公开 密 钥 。 

(2) 公开 可 用 目录 

由 一 个 可 信任 组 织 负责 维护 一 个 公开 的 公开 密 钥 动 态 目 录 ( 其 中 的 目录 项 定期 公布 
和 更 新 ) ,该 目录 为 每 个 参与 者 维护 一 个 目录 项 (用户 名 ,用 户 的 公开 密 钥 } ,每 个 目录 项 的 
信息 都 需 证 实 其 真实 性 。 任 何其 他 通信 方 都 可 以 从 这 里 获得 所 需要 通信 方 的 公开 密 钥 。 
该 途径 有 致命 的 弱点 : 如 果 一 个 攻击 方 成 功 地 得 到 或 者 计算 出 目录 管理 机 构 的 私有 密 
钥 , 就 可 以 伪造 公开 密 钥 ,并 发 送 给 其 他 人 达到 欺骗 的 目的 。 

(3) 公开 密 钥 管理 机 构 

比 公 开 可 用 目录 多 了 公开 密 钥 管 理 机 构 和 通信 方 的 认证 以 及 通信 双方 的 认证 。 每 个 
通信 方 都 有 安全 渠道 得 到 该 中 心 权威 机 构 的 公开 密 钥 ,而 其 对 应 的 私有 密 钥 只 有 该 中 心 
权威 机 构 才 持 有 。 任 何 通信 方 都 可 以 向 该 中 心 权 威 机 构 获得 其 他 任何 通信 方 的 公开 密 
钥 , 通 过 该 中 心 权威 机 构 的 公开 密 钥 便 可 判断 它 所 获得 的 其 他 通信 方 的 公开 密 钥 的 可 信 
度 。 它 的 缺点 在 于 ,因为 每 一 用 户 要 想 与 他 人 联系 都 求助 于 该 管理 机 构 , 所 以 容易 使 管理 
机 构成 为 网 络 通信 中 的 瓶颈 。 

(4) 公开 密 钥 证 书 

能 和 否 不 需要 与 公开 密 钥 管理 机 构 实 时 通信 ,也 能 证 明 其 他 通信 方 的 公开 密 钥 的 可 信 
度 ? 这 就 需要 引入 公开 密 钥 证 书 的 概念 和 技术 。 目 前 ,公开 密 钥 证 书 即 数字 证 书 由 CA 
颁发 ,CA 可 以 事先 为 用 户 颁 发 证 书 , 等 用 户 需 要 通信 时 通过 下 载 并 验证 他 人 的 数字 证 
书 , 相 互 得 到 对 方 的 公 钥 即 可 ,而 无 须 再 与 CA 联系 。 图 7. 3 给 出 了 利用 数字 证 书 分 配 公 
开 密 钥 的 过 程 。 

CA 作为 网 络 通信 中 受信 任 的 第 三 方 ,承担 检验 公开 密 钥 的 合法 性 的 责任 。CA 中 心 
为 每 个 用 户 发 放 数 字 证 书 ( 经 CA 私 钥 签 名 的 包含 公开 密 钥 拥有 者 信息 及 其 公开 密 钥 的 
文件 ) ,数字 证 书 的 作用 是 证 明证 书 中 列 出 的 用 户 合法 地 拥有 证 书 中 列 出 的 公开 密 钥 。 数 
字 证 书 的 格式 遵循 X. 509 标准 ,CA 机 构 的 数字 签名 使 得 攻击 者 不 能 伪造 和 算 改 证 书 。 


7.2.3 使 用 公开 加 密 算 法 分 配对 称 密 钥 


公开 加 密 算 法 可 以 直接 对 消息 本 身 加 密 , 如 果 明 文 消息 很 长 ,加 密 和 解密 的 速度 就 相 
当 慢 ,所 以 事实 上 公开 加 密 算 法 更 多 的 时 候 用 来 分 发 对 称 加 密 算法 的 密 钥 : 用 公开 加 密 
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PUA 
Ca=E(PRea, [TimeillIDAlIPUAJ) 


Ca=E(PRea, [Time,lliDellPUs)) 


CA 
Ce 


图 7.3 利用 数字 证 书 分 配 公 开 密 钥 


方法 来 保护 对 称 加 密 密 钥 的 传送 ,保证 了 对 称 加 密 密 钥 的 安全 性 ;用 对 称 加 密 方法 来 保护 
要 发 送 的 消息 ,由 于 其 加 密 密 钥 是 安全 的 ,因而 其 传送 的 数据 也 是 安全 的 ,同时 也 利用 了 
对 称 加 密 速 度 快 的 特点 。 这 就 是 所 谓 的 链 式 加 密 ( 数 字 信封 ) 。 

假定 通信 的 双方 A 和 B 已 经 通过 某 种 方法 得 到 对 方 的 公开 密 钥 ,那么 用 它 来 分 发 对 
称 密 钥 的 步骤 如 下 所 示 ,其 分 发 过 程 如 图 7.4 所 示 。 


(D EPUs, [NIDAJ) 


(2) E(PUA, [NIN,]) 
(3) E(PUs, N,) 


(4) E(PUs, EUPRA KJ) 
图 7.4 使 用 公开 加 密 算法 分 配对 称 密 钥 


(1) A—>B:E(PUs, [Ni IDA]) 

A 使 用 B 的 公开 密 钥 PUs 加 密 一 个 报 文 发 给 B, 报 文 内 容 包 括 : 一 个 A 的 标识 逢 
IDA ,一 个 现时 值 Ni 。 

(2) B>A:E(PU,, [Ni | N,]) 

B 返回 一 个 用 A 的 公开 密 钥 PUA 加 密 的 报 文 给 A, 报 文 内 容 包括 A 的 现时 值 N; 和 
B 新 产生 的 现时 值 N;。 因 为 只 有 B 才 可 以 解密 1 中 的 报 文 , 报 文 2 中 的 Ni 存在 使 得 
A 确信 对 方 是 B。 

(3) A—>B: E(PUs, N,) 

A 返回 一 个 用 B 的 公开 密 钥 PUs 加 密 的 报 文 给 B, 因 为 只 有 A 才 可 以 解密 2 中 的 报 
文 , 报 文 3 中 的 Ns 存在 使 得 B 确信 对 方 是 A。 

(4) A—>B: E(PUs, E(PRa, K.)) 

A 产生 一 个 对 称 加 密 密 钥 K,, 并 用 A 的 私有 密 钥 PR 加密 ,保证 只 有 A 才能 发 送 
它 , 再 用 B 的 公有 密 钥 PUs 加 密 ,保证 只 有 B 才能 解读 它 。 

B 收 到 加 密 报 文 后 , 先 用 自己 私 钥 解 密 , 再 用 A 的 公 钥 解密 就 得 到 K,, 从 而 获得 与 
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人 A 共享 的 对 称 加 密 密 钥 ,因而 通过 K, 可 以 与 之 安全 通信 。 

使 用 这 种 方式 ,用 户 在 每 次 发 送 保密 信息 时 都 可 以 使 用 不 同 的 对 称 密 钥 , 从 而 增加 密 
码 破 译 的 难度 。 一 次 密码 的 破译 不 影响 其 他 次 数据 传递 的 安全 。 

另外 ,密码 学 中 所 介绍 的 Diffie-Hellman 协议 也 是 一 个 利用 公开 加 密 算 法 分 配对 称 
密 钥 的 协议 ,但 它 不 具有 任何 鉴别 功能 。 


习题 


1. 为 什么 密 钥 的 分 配 与 管理 是 加 密 系 统 最 核心 的 问题 ? 

2. 有 哪 几 种 常见 的 防止 重 放 攻击 的 方法 ? 它们 各 有 什么 特点 ? 除了 本 章 给 出 的 方法 
之 外 ,还 有 哪些 机 制 能 在 一 定 程度 上 防止 重 放 攻击 ? 

3. 在 Needham-Schroeder 协议 中 ,通信 双方 的 主 密 钥 和 会 话 密 钥 的 作用 有 何不 同 ? 
它们 分 别 是 如 何 进 行 安 全 分 发 的 ? 

4. Needham-Schroeder 协议 能 够 实现 双向 鉴别 和 密 钥 分 配 , 它 一 般 是 否 会 遭受 中 间 
人 攻击 ? 请 说 明 原 因 。 那 么 是 否 会 遭受 重 放 攻击 呢 ? 请 说 明 原 因 和 给 出 具体 的 攻击 
方案 。 

5. Needham-Schroeder 协议 中 使 用 的 “现时 ”机制 会 遭受 怎样 的 重 放 攻 击 ? 而 依赖 
时 钟 同步 的 鉴别 协议 会 遭受 哪 种 重 放 攻 击 ? 本 章 中 给 出 的 哪 种 改进 协议 可 以 同时 避免 这 
两 种 重 放 攻击 ? 它 是 如 何 实现 的 ? 

6. 如何 修改 Needham-Schroeder 协议 ,使 其 能 对 电子 邮件 实现 单 向 鉴别 ? 这 样 修改 
的 原因 是 什么 ? 

7. 阐述 如 何 分 别 使 用 对 称 加 密 算法 和 公开 加 密 算法 对 电子 邮件 进行 单 向 鉴别 的 原 
理 , 以 及 两 种 方法 的 优 缺 点 。 

8. 对 称 加 密 密 钥 的 分 配 有 哪 两 种 主要 的 方案 ,请 对 比 一 下 它们 的 优 缺 点 。 

9. KDC 在 Needham-Schroeder 协议 的 双向 鉴别 和 密 钥 分 配 过 程 中 起 到 什么 作用 ? 

10. 对 称 加 密 密 钥 的 分 散 式 分 配方 案 的 适用 场合 是 什么 ? 使 用 两 级 密 钥 方案 ( 主 密 
钥 和 会 话 密 钥 ) 在 密 钥 安全 性 管理 上 有 什么 优点 ? 

11. 公开 加 密 密 钥 的 分 配 有 哪 几 种 方案 ?它们 各 有 什么 特点 ? 哪 种 方案 最 安全 ? 

12. 如 何 使 用 公开 加 密 算 法 进行 对 称 密 钥 的 分 配 ? 

13. 试 比较 本 章 中 的 使 用 公开 加 密 算 法 进行 对 称 密 钥 的 分 配方 案 与 Diffie-Hellman 
的 密 钥 分 配方 案 的 异同 。 
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第 8 章 身份 认证 和 访问 控制 


身份 认证 是 指 用 户 要 向 系统 证 明 他 就 是 他 所 声称 的 那个 人 ,包括 识别 和 验证 两 个 步 
又 : 识别 就 是 明确 访问 者 的 身份 ,验证 就 是 对 访问 者 声称 的 身份 进行 确认 。 识 别 信 息 是 
公开 的 ,验证 信息 是 保密 的 。 在 身份 认证 中 用 户 必须 提供 他 是 谁 的 证 明 , 认 证 的 目的 就 是 
弄 清 楚 他 是 谁 , 他 具有 什么 特征 ,他 知道 什么 可 用 于 识别 他 的 东西 。 这 种 证 实用 户 的 真实 
身份 与 其 所 声称 的 身份 是 否 相 符 的 过 程 是 为 了 限制 非法 用 户 访问 网 络 资源 ,这 是 其 他 安 
全 机 制 的 基础 。 

身份 认证 是 安全 系统 中 的 第 一 道 关卡 , 它 在 安全 系统 中 的 地 位 极其 重要 ,是 最 基本 的 
安全 服务 ,其 他 的 安全 服务 (如 访问 控制 ) 都 要 依赖 于 它 。 识 别 身份 后 ,由 访问 监视 器 根据 
用 户 身份 和 授权 数据 库 决定 是 否 能 够 访问 某 个 资源 。 一 旦 身份 认证 系统 被 攻破 ,系统 的 
所 有 安全 措施 将 形同虚设 ,黑客 攻击 的 目标 往往 就 是 身份 认证 系统 。 图 8. 1 是 安全 系统 
中 的 身份 认证 和 访问 控制 的 示意 图 。 


[安全 管理 员 a 


身份 认证 访问 控制 
用 户 | 访问 监视 器 -可 


1 


记录 (实时 入 侵 检测 ) 


审计 员 | “管理 -| 审计 | ( 非 实时 入 侵 检测 ) 


图 8.1 安全 系统 中 的 身份 认证 和 访问 控制 


根据 所 使 用 环境 的 不 同 , 身 份 认证 分 为 单机 状态 下 身份 认证 和 网 络 环境 下 的 身份 认 
证 两 种 ,首先 谈 谈 单机 状态 下 身份 认证 ,然后 重点 介绍 两 种 主要 的 、 常 见 的 网 络 环境 下 的 
身份 认证 协议 一 一 S/KEY 协议 和 Kerberos 协议 。 


8.1 单机 状态 下 的 身份 认证 


单机 状态 下 的 身份 认证 相对 网 络 环境 下 的 身份 认证 来 说 比较 容易 实现 ,单机 状态 下 
用 户 登录 计算 机 时 ,一 般 有 以 下 几 种 形式 验证 用 户 身 份 : 
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(1) 用 户 所 知道 的 东西 (基于 知识 的 证 明 ) : 如 口令 、 密 码 等 。 

(2) 用 户 所 拥有 的 东西 (基于 持 有 的 证 明 ) : 如 智能 卡 、 通 行 证 ,USB Key 等 。 

(3) 用 户 所 具有 的 生物 特征 (基于 属性 的 证 明 ): 如 指纹 ,脸形 .声音 .视网膜 扫描 、 
DNA 等 。 

(4) 用 户 的 行为 特征 : 如 手写 签字 、 打 字 韵 律 等 ,这 必须 是 用 户 下 意识 动作 的 结果 。 

组 合 使 用 上 面 的 方法 会 更 有 效 , 如 将 口令 与 智能 卡 结合 使 用 ,通常 称 为 双 因素 身份 认 
证 。 因 为 每 一 种 身份 认证 方法 有 自身 的 弱点 ,采用 双 因 素 身 份 认证 可 相互 取长补短 。 


8.1.1 基于 口令 的 认证 方式 


基于 口令 的 认证 方式 是 最 常用 的 一 种 身份 认证 技术 : 用 户 输入 自己 的 口令 ,计算 机 
验证 并 给 予 用 户 相应 的 权限 。 对 口令 的 攻击 分 为 联机 和 脱 机 两 种 方式 : 联机 攻击 的 表现 
形式 是 联机 反复 尝试 口令 进行 登录 ; 脱 机 攻击 的 表现 形式 为 截获 口令 密 文 后 进行 强力 攻 
击 。 基 于 口令 的 认证 方式 中 最 需要 考虑 的 问题 是 如 何 存储 口令 。 


1. 直接 明文 存储 口令 


这 种 方式 有 很 大 风险 ,任何 人 只 要 得 到 了 存储 口令 的 数据 库 , 就 可 以 得 到 全 体 人 员 的 
口令 。 例 如 攻击 者 可 以 设法 得 到 一 个 低 优先 级 的 账号 和 口令 ,进入 系统 后 得 到 存储 明文 
口令 的 文件 ,这 样 他 就 可 以 得 到 全 体 人 员 的 口令 ,包括 最 高 管理 员 的 口令 。 


2. Hash 散 列 存储 口令 


口令 z 的 散 列 值 F(z) 又 叫做 通行 短语 (pass phrase) , 散 列 函数 的 目的 是 为 文件 、 报 
文 或 其 他 数据 产生 * 数 字 指纹 ”。 对 于 每 一 个 用 户 ,系统 存储 账号 和 口令 散 列 值 对 在 一 个 
口令 文件 中 , 当 用 户 登录 时 ,用 户 输入 口令 z, 系 统计 算 F(z) ,然后 与 口令 文件 中 相应 的 
散 列 值 进行 比 对 ,成 功 即 允许 登录 。 


3. 加 盐 的 Hash 散 列 存储 口令 


为 了 使 口令 文件 中 存放 的 用 户口 令 更 加 安全 ,避免 由 于 相同 的 明文 口令 对 应 的 口令 
散 列 相 同 , 而 造成 一 个 用 户口 令 的 破解 导致 男 一 个 用 户 的 同一 口令 也 被 同时 破解 的 问题 ， 
有 些 系 统 中 又 引 了 “加 盐 ” 的 口令 保存 机 制 。 

盐 (salt) 是 在 散 列 口令 之 前 与 口令 结合 在 一 起 的 随机 字符 串 ,长 度 一 般 为 12 比特 。 
由 于 该 字符 串 在 每 一 次 口令 创建 时 都 随机 生成 .因此 ,即使 两 个 用 户 的 口令 相同 ,但 由 于 
salt 值 不 同 ,得 到 的 口令 散 列 也 不 同 。 例 如 ,在 Linux 系统 中 /etc/shadow 文件 中 包含 的 
两 行 数据 : 

1ijie: qdUYgW6vvNB.U 

wangfeng: zs9RZOrI/0aH2 


账户 lijie 和 wangfeng 使 用 的 是 相同 的 口令 值 *“password”, 但 是 在 口令 文件 中 保存 
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的 口令 散 列 却 完全 不 同 。 因 此 , 当 口 令 破解 者 破解 一 个 口令 后 ,他 没有 办 法 寻找 具有 相同 
散 列 值 的 其 他 口令 ,必须 一 个 个 地 破解 每 一 个 口令 。 

服务 器 在 对 用 户 进行 认证 时 要 求 用 户 输入 口令 ,系统 按照 用 户 账号 查找 到 存储 的 相 
应 的 salt 和 口令 散 列 ,并 对 用 户 输入 的 口令 和 salt 合并 后 进行 散 列 ,然后 将 散 列 的 结果 与 
存储 的 该 用 户 的 口令 散 列 进行 比较 : 如 果 匹 配 成 功 则 用 户 通过 认证 ,否则 拒绝 用 户 访问 。 

UNIX 及 其 各 种 变 体 (包括 Linux) 在 散 列 口令 时 都 使 用 了 加 盐 , Windows 则 没有 ,这 
也 是 Windows 口令 相对 更 容易 破解 的 原因 之 一 。 

基于 口令 散 列 的 认证 方式 的 优点 在 于 ,即使 黑客 或 系统 管理 员 得 到 了 口令 文件 ,通过 
散 列 值 想 要 计算 出 明文 口令 在 计算 上 也 是 不 可 能 的 ,这 就 相对 增加 了 安全 性 。 但 是 这 种 
认证 方式 存在 严重 安全 问题 , 它 是 一 种 单 因素 的 认证 ,安全 性 仅 依赖 于 口令 ,而 且 用 户 往 
往 选 择 容易 记忆 容易 被 猜测 的 口令 (这 就 是 安全 系统 最 薄弱 的 突破 口 ), 同 时 口令 文件 被 
窃取 后 也 可 被 进行 离线 的 字典 式 攻 击 。 随 着 自动 化 口令 破解 工具 的 实现 ,这 种 方法 已 经 
变 得 越 来 越 不 可 靠 。 基 于 静态 口令 的 认证 在 计算 机 网 络 中 和 分 布 式 系 统 中 更 加 不 安全 。 


8.1.2 基于 智能 卡 的 认证 方式 


基于 智能 卡 的 认证 方式 是 一 种 双 因素 的 认证 方式 ,也 称 为 “增强 的 认证 ”。 它 要 求 用 
户 拥有 两 个 完全 不 同 的 因素 : 所 知道 的 东西 (个 人 身份 识别 码 PIN) 和 所 拥有 的 东西 ( 智 
能 卡 )。 智 能 卡 具 有 硬件 加 密 功能 ,有 较 高 的 安全 性 。 每 个 用 户 持 有 一 张 智 能 卡 , 智 能 卡 
存储 用 户 个 性 化 的 秘密 信息 ,同时 在 身份 认证 服务 器 中 也 存放 该 秘密 信息 。 进 行 认证 时 ， 
用 户 输入 PIN ,智能 卡 识别 PIN 是 否 正确 ,如 果 正 确 , 即 可 读 出 智能 卡 中 的 秘密 信息 , 进 
而 利用 该 秘密 信息 与 主机 之 间 进 行 认证 。 

在 基于 智能 卡 的 认证 方式 中 即使 PIN 或 智能 卡 被 窃取 ,用 户 仍 不 会 被 冒充 。 智 能 卡 
提供 硬件 保护 措施 和 加 密 算法 ,可 以 利用 这 些 功 能 加 强 安全 性 能 。 


8.1.3 基于 生物 特征 的 认证 方式 


基于 生物 统计 学 的 方法 以 人 体 唯一 的 ,可 靠 的 稳定 的 生物 特征 (如 指纹 、 虹 膜 、 脸 形 、 
掌 纹 、 血 型 等 ) 为 依据 ,采用 计算 机 强大 的 计算 功能 和 网 络 技术 进行 图 像 处 理 和 模式 识别 。 
所 有 的 工作 大 多 进行 了 这 样 四 个 步骤 : 抓 图 、 抽 取 特 征 、 比 较 和 匹配 。 生 物 识 别 系 统 捕 提 
到 具有 生物 特征 的 样品 ,唯一 的 典型 特征 数据 将 会 被 提取 并 且 被 转化 成 数字 符号 ,这 些 符 
号 被 存 成 那个 人 的 特征 模板 。 在 登录 时 ,人 们 同 生物 特征 识别 系统 交互 来 进行 身份 认证 ， 
以 确定 匹配 或 不 匹配 。 

因为 这 些 特 征 都 具有 因 人 而 异 和 随身 携带 的 特点 ,他 人 模仿 这 些 特征 比较 难 , 并 且 特 
征 不 能 转让 ,所 以 该 技术 具有 很 好 的 安全 性 、 可 靠 性 和 有 效 性 。 但 是 基于 生物 特征 的 认证 
方式 识别 的 速度 相对 较 慢 ,使 用 代价 高 ,使 用 面 窗 , 且 不 适合 在 网 络 环境 中 使 用 ,而 且 在 网 
络 上 传送 时 如 果 泄 露 也 不 好 更 新 ,所 以 使 用 得 还 不 是 非常 广泛 。 历 史上 ,第 一 个 用 于 身份 
认证 的 生物 特征 是 指纹 ,其 他 如 声音 、 角 膜 则 用 得 比较 少 。 
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目前 需要 解决 的 问题 是 : 如 果 提取 的 识别 信息 数据 量 过 多 , 则 存在 存储 开销 大 、 传 输 
效率 低 等 缺陷 ;数据 量 过 少 又 可 能 出 现 漏 报 。 如 何 准确 地 提取 识别 信息 ,是 当前 的 一 个 研 
究 热点 。 


8.2 S/KEY 认证 协议 
8.2.1 一 次 性 口令 技术 


首先 我 们 谈 谈 在 网 络 环境 下 进行 身份 认证 的 困难 性 ,这 同时 也 是 为 什么 要 使 用 一 次 
性 口令 技术 的 原因 。 

Internet 上 用 户 常 常 受到 的 一 种 攻击 是 监听 : 通过 在 网 络 连接 上 进行 监听 获得 合法 
用 户 的 账号 和 口令 。 攻 击 者 会 在 以 后 使 用 已 经 获得 的 账号 和 口令 来 获得 系统 的 访问 权 。 
所 以 在 进行 网 络 环境 下 的 身份 认证 时 ,每 次 都 使 用 相同 的 明文 口令 极 易 被 网 上 嗅 探 ,而 且 
也 容易 受到 字典 攻击 。 

即使 网 络 上 传输 的 是 用 户 的 口令 散 列 , 它 仍然 可 以 被 截获 下 来 , 且 并 不 需要 去 解密 得 
到 口令 本 身 。 因 为 同一 用 户 每 次 登录 时 使 用 的 口令 散 列 都 相同 ,所 以 只 需要 直接 “ 重 放 ” 
口令 散 列 就 可 以 假冒 合法 用 户 登录 成 功 。 

因此 网 络 环境 下 的 身份 认证 不 能 使 用 上 面 这 些 静 态 口 令 , 而 必须 使 用 一 次 性 口令 技 
术 ,S/KEY 就 是 一 种 一 次 性 口令 认证 技术 , 它 能 对 抗 上 述 的 重 放 攻击 。 

20 世纪 80 年 代 初 ,美国 科学 家 Leslie Lamport 首次 提出 利用 散 列 函数 产生 一 次 性 
口令 的 思想 ; 1991 年 贝尔 通信 研究 中 心 研制 出 基于 一 次 性 口令 思想 的 挑战 /应 答 
(challenge/response) 式 动态 密码 身份 认证 系统 S/KEY ;之 后 开发 了 更 安全 的 基于 MD5 
散 列 算法 的 动态 密码 认证 系统 ;为 了 克服 早期 的 挑战 /应 答 式 认 证 系统 使 用 烦琐 .通信 速 
度 慢 的 缺点 ,RSA 实验 室 又 研制 了 基于 时 间 同 步 的 动态 密码 认证 系统 RSA SecureID。 

与 静态 口令 不 同 ,一 次 性 口令 之 所 以 能 够 更 好 地 实现 网 络 身份 认证 是 因为 它 是 变动 
的 口令 ,其 变动 来 源 于 产生 口令 的 运算 因子 是 变化 的 。 它 一 般 使 用 双 运 算 因 子 : 固定 因 
子 , 即 用 户 的 口令 散 列 ;变动 因子 , 正 是 变动 因子 的 不 断 变化 , 才 产生 了 不 断 变动 的 一 次 性 
口令 。 采 用 不 同 的 变动 因子 ,形成 不 同 的 一 次 性 口令 认证 技术 : 基于 时 间 同 步 的 认证 技 
术 、 基 于 事件 同步 的 认证 技术 、 挑 战 /应 答 式 的 非 同步 认证 技术 。 

(1) 基于 时 间 同 步 认 证 技术 是 把 流逝 的 时 间作 为 变动 因子 (例如 以 60 秒 作为 变化 单 
位 ,采用 “滑动 窗口 技术 )。 用 户 密 钥 卡 和 认证 服务 器 所 产生 的 密码 在 时 间 上 必须 同步 。 

(2) 基于 事件 同步 认证 技术 是 把 变动 的 数字 序列 (事件 序列 ) 作 为 密码 产生 器 的 一 个 
运算 因子 ,与 用 户 的 口令 散 列 共同 产生 动态 密码 。 用 户 密 钥 卡 和 认证 服务 器 必须 保持 相 
同 的 事件 序列 。 

(3) 挑战 /应 答 方式 的 变动 因子 是 由 认证 服务 器 产生 的 随机 数字 序列 (Challenge) ,由 
于 每 一 个 Challenge 都 是 唯一 的 ,不 会 重复 使 用 的 ,并 且 Challenge 是 在 同一 个 地 方 产生 ， 
所 以 不 需要 同步 。 
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8.2.2 最 初 的 S/KEY 认证 协议 


S/KEY 是 第 一 个 一 次 性 口令 身份 认证 技术 ,现在 已 作为 标准 。 它 的 认证 过 程 如 
图 8.2 所 示 。 

假定 用 户 登 录 前 已 经 在 目标 服务 器 初始 化 连接 请 求 ， 发 送 账号 
上 注册 , 即 服务 器 上 已 存储 该 用 户 的 口令 服务 器 发 出 挑战 (seed 、seq) 
散 列 ,那么 S/KEY 的 认证 过 程 分 为 以 下 [全 


客户 机 对 (用 户口 令 散 列 +seed) 进 行 
几 个 步骤 : 用 | seq 次 航 列 ， 产 生 一 次 性 口令 作为 应答 。 | 归 
(1) 客户 向 需要 身份 认证 的 服务 器 提 ”| 人 | 器 
出 连接 请 服务 器 对 收 到 的 应 答 再 进行 一 次 散 列 ， 
出 连接 请 求 。 与 上 一 次 存储 的 一 次 性 口令 进行 比较 ， 
(2) 服务 器 发 出 挑战 , 带 两 个 参数 进而 对 用 户 的 身份 进行 确认 
seed seq。 Gd 下 
(3) 客户 输入 口令 ,系统 将 口令 散 列 图 8.2 S/KEY 协议 的 认证 过 程 


与 seed 连接 ,做 seq 次 Hash 计算 (如 
MD5) ,产生 一 次 性 口令 作为 应 答 , 传 给 服务 器 。 

(4) 服务 器 上 必须 存储 一 个 文件 (UNIX 系统 中 位 于 /etc/skeykeys), 它 存储 每 一 个 
用 户 上 一 次 登录 的 一 次 性 口令 。 服 务 器 收 到 用 户 新 传 来 的 一 次 性 口令 后 ,再 进行 一 次 
Hash, 与 上 一 次 存储 的 一 次 性 口令 比较 ,匹配 则 通过 身份 认证 ,并 用 这 次 一 次 性 口令 覆盖 
上 次 一 次 性 口令 。 下 次 用 户 登 录 时 ,服务 器 将 送出 seq' 二 seq 一 1。 

注意 ,在 本 认证 协议 中 服务 器 对 同一 个 用 户 每 次 发 出 的 挑战 中 的 seed 值 是 相同 的 。 
这 种 认证 方式 中 合法 的 用 户 很 容易 通过 服务 器 的 身份 认证 ,而 攻击 者 即使 截获 了 一 次 性 
口令 ,也 不 能 得 到 用 户口 令 散 列 。 而 且 seq 值 是 递减 的 ,使 得 攻击 者 在 不 知道 用 户口 令 散 
列 的 情况 下 ,不 能 预测 出 下 一 次 的 一 次 性 口令 ,因而 不 能 实现 重 放 。 

S/KEY 认证 协议 有 如 下 优点 : 

(1) 使 用 S/KEY, 只 有 一 次 性 口令 会 在 网 络 上 出 现 ,用 户口 令 散 列 本 身 并 没有 在 网 
上 传播 。 这 样 黑 客 截 获 的 是 密 文 ,由 于 散 列 函数 固有 的 不 可 逆 性 ,要 想 破 解密 文 在 计算 上 
是 不 可 能 的 。 

(2) 用 户 下 一 次 连接 服务 器 时 生成 的 一 次 性 口令 与 上 一 次 不 一 样 。 

(3) 实现 原理 简单 ,Hash 函数 还 可 以 用 硬件 实现 。 

(4) 服务 器 上 也 只 需要 存储 用 户口 令 散 列 , 黑 客 也 很 难 攻陷 服务 器 ,攻陷 后 也 只 得 到 
用 户口 令 散 列 。 

S/KEY 认证 协议 有 如 下 缺点 : 

(1) 每 次 发 送 的 seq 值 是 递减 的 ,所 以 挑战 使 用 一 定 次 数 后 必须 初始 化 ;而 且 用 户 需 
要 进行 多 次 散 列 运算 ,服务 器 的 额外 开销 比较 大 。 

(2) 安全 性 依赖 于 Hash 函数 的 不 可 道 性。 

(3) 会 话 内 容 本 身 没 有 保密 。 

(4) 重复 使 用 以 前 的 一 次 性 口令 ,如果 攻击 者 掌握 了 一 个 循环 中 的 所 有 一 次 性 口令 
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就 有 了 入 侵 机 会 。 
(5) 维护 一 个 很 大 的 一 次 性 口令 列表 也 很 麻烦 。 


8.2.3 改进 的 S/KEY 认证 协议 


由 于 最 早出 现 的 S/KEY 一 次 性 口令 认证 技术 存在 上 面 一 些 问题 ,尤其 是 重复 使 用 
ws 机 次 性 口令 ,给 攻击 者 假冒 合法 用 户 身份 进行 登录 提供 了 可 能 。 所 以 后 来 又 提出 

一 个 改进 的 S/KEY 认证 协议 ,在 很 大 程度 上 克服 了 前 面 提 到 的 缺点 , Windows 2000 
re NTLM 认证 所 实现 的 挑战 /应 答 机 制 就 使 用 了 这 个 经 过 改进 的 S/ 
KEY 认证 协议 。 改 进 的 S/KEY 协议 的 认证 过 程 如 图 8. 3 所 示 。 


用 时 日 和 


\ (不 在 网 络 中 传输 ) 


1 客户 站 发送 账号 ， 请 求全 条 
明文 口 今 被 朋 列 客户 喘 改 送 账号 ， 请 求 登录 


1 务 器 发 出 8 字 节 的 挑战 (sced 、 [en] 
ET 服务 器 发 出 8 字 节 的 挑战 (sced 、seq) 他 掩 上 
' 


来 自 AD 或 SAM 的 
用 户口 令 散 列 


Ff 
用 用 户口 令 敬 列 用 用 户口 令 散 列 
对 挑战 进行 散 列 对 挑战 进行 散 列 


了 将 应 答 作为 一 次 性 口令 发 送 给 服务 器 
应 答 


LE 


应 答 
服务 器 将 双方 产生 的 应 答 进行 比较 ， 
决定 允许 或 拒绝 该 用 户 访问 


车 允许 访问 ， 服务器 产生 会 话 密 钥 ， 
' 并 用 用 户口 令 散 列 加 密 发 送 给 客户 端 


图 8.3 改进 的 S/KEY 协议 的 认证 过 程 


改进 的 S/KEY 协议 的 认证 过 程 如 下 : 

(1) 客户 端 首 先 用 经 注册 的 合法 的 用 户 账号 向 服务 器 提出 登录 请 求 。 

(2) 服务 器 向 客户 端 发 送 一 个 挑战 : 随机 数 seed 和 要 求 的 散 列 次 数 seq。 

(3) 客户 端 使 用 用 户口 令 散 列 对 它们 进行 散 列 运算 ,并 将 这 个 新 计算 出 来 的 值 作为 


应 答 传 回 服务 器 。 


的 


(4) 服务 器 从 本 地 SAM 或 者 活动 目录 中 取出 该 用 户 账 号 对 应 的 口令 散 列 对 刚 发 送 
瑟 战 进行 散 列 运算 ,并 将 结果 与 客户 端的 应 答 比较 ,判断 允许 或 者 拒绝 访问 。 


(5) 如 允许 访问 ,服务 器 生成 一 个 随机 数 作为 对 称 的 会 话 密 钥 ,用 于 加 密 本 次 连接 中 
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客户 端 和 服务 器 之 间 将 要 传输 的 数据 。 该 会 话 密 钥 采用 用 户 的 口令 散 列 加 密 ,并 发 送 给 
客户 端 。 

在 这 个 改进 协议 中 只 有 seed、seq 和 一 次 性 口令 在 网 络 上 传播 ,但 它们 都 是 一 次 性 
的 ,这 就 提高 了 安全 性 。 注 意 seed 是 每 次 变化 ,不 可 预测 的 ;而 seq 每 次 可 相同 可 不 同 。 
那么 用 户口 令 散 列 和 seed 值 经 过 seq 次 散 列 后 : 

(1) 用 户 很 容易 求 出 正确 的 一 次 性 口令 ,以 向 服务 器 证 明 自 己 的 身份 ;服务 器 也 很 容 
易 计 算出 一 次 性 口令 ,与 接收 到 的 一 次 性 口令 比较 是 否 匹 配 。 服 务 器 不 再 需要 维护 一 个 
一 次 性 口令 列表 。 

(2) 攻击 者 即使 截获 一 次 性 口令 ,也 不 可 能 求 出 用 户口 令 散 列 ; 而 且 用 户 每 次 使 用 的 
一 次 性 口令 不 同 ,攻击 者 既 不 能 预测 下 一 次 一 次 性 口令 ,也 不 能 重 放 成 功 。 

上 面 介绍 的 基于 挑战 /应 答 方式 的 一 次 性 口令 技术 是 当今 口令 认证 机 制 的 基础 ,例如 
Windows 2000 以 后 版 本 的 口令 认证 过 程 是 : 使 用 MD5 产生 口令 散 列 ,认证 数据 库 为 
SAM(Security Account Manager, 安全 账号 管理 ) 数 据 库 ,而 挑战 是 16 位 的 随机 数 。 
S/KEY 同时 也 是 CHAP RFC 1994 和 一 些 RADIUS 协议 扩展 的 基础 。 

使 用 S/KEY 一 次 性 口令 技术 仅仅 能 够 避免 用 户 受 到 监听 和 重 放 等 攻击 , 它 不 能 防 
止 会 话 支持 等 主动 攻击 。S/KEY 还 依赖 于 Hash 函数 的 不 可 道 性 。 据 我 们 所 知 , 虽 然 
MD5 算法 还 没有 被 攻破 ,但 是 比较 容易 找到 MD5 散 列 值 的 碰撞 ,所 以 相对 不 安全 。 如 果 
需要 身份 认证 的 网 络 支持 多 种 Hash 算法 ,系统 的 安全 将 仅 等 同 于 使 用 的 最 弱 算 法 的 安 
全 强度 。S/KEY 没有 完整 性 保护 机 制 ,无 法 阻止 攻击 者 修改 网 络 中 的 认证 数据 ,无 法 防 
范 拦截 和 修改 数据 包 ,无 法 防范 内 部 攻击 。 最 重要 一 点 是 ,S/KEY 认证 协议 不 能 对 服务 
器 的 身份 进行 认证 。 


8.3 ”Kerberos 认证 协议 


在 一 个 开放 的 分 布 式 网 络 环境 中 ,用 户 通 过 工作 站 访问 服务 器 上 提供 的 服务 。 当 结 
合 使 用 网 络 访问 控制 和 网 络 层 安 全 协议 时 ,可 以 保证 只 有 经 过 授权 的 工作 站 才能 连接 到 
服务 器 ,并 可 以 防止 传输 的 数据 流 被 非法 窃听 。 同 时 我 们 还 希望 服务 器 只 能 对 授权 用 户 
提供 服务 ,并 能 够 鉴别 服务 请 求 的 种 类 ,但 上 述 这 些 安全 控制 机 制 都 不 能 完全 有 效 地 鉴别 
来 自 合法 工作 站 上 的 用 户 哪 些 是 合法 的 。 

Kerberos 很 好 地 解决 了 攻击 者 可 能 来 自 某 个 服务 器 所 信任 的 工作 站 的 问题 。 如 果 
该 用 户 没 有 通过 相应 的 Kerberos 认证 , 则 他 将 被 拒绝 访问 该 服务 器 。Kerberos 基于 可 
信赖 的 第 三 方 ( 即 密 钥 分 配 中 心 KDC) ,能 够 提供 不 安全 分 布 式 环境 下 的 双向 用 户 实时 认 
证 ,并 且 保 证 数据 的 安全 传输 。 与 其 他 安全 协议 不 同 ,Kerberos 的 认证 和 数据 安全 传输 
功能 的 实现 都 只 使 用 对 称 加 密 算 法 。 最 早 采用 的 是 DES, 但 后 来 也 可 用 其 他 算法 的 独立 
加 密 模块 。 

Kerberos 是 在 Needham-Schroeder 密 钥 分 配 和 双向 鉴别 协议 的 基础 上 发 展 起 来 的 ， 
它 采 纳 了 Denning 对 Needham-Schroeder 协议 的 改进 建议 ,在 鉴别 协议 中 引入 时 间 截 。 
它 的 最 初版 本 v1 一 v3 都 只 在 麻 省 理工 学 院内 部 发 行 。Steve Miller 和 Clifford Neumann 
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在 1980 年 年 末 发 布 了 Kerberos v4 ,这 个 版 本 主要 是 针对 Project Athena( 雅 典 娜 计划 ) 。 
Kerberos v5 由 John Kohl 和 Clifford Neumann 设计 ,在 1993 年 发 布 ,目的 在 于 克服 
Kerberos v4 的 局 限 性 和 安全 问题 ,虽然 Kerberos v5 在 很 多 地 方 做 了 修改 ,但 是 一 些 基 
本 的 思想 都 没有 变 。Windows 2000 及 其 后 续 操作 系统 都 默认 Kerberos 为 其 认证 协议 ， 
目前 各 主要 操作 系统 都 支持 Kerberos 认证 系统 ,Kerberos 实际 上 已 经 成 为 工业 界 的 事 
实 标准 。 

Kerberos 的 名 字源 于 古 希 腊 神 话 故 事 ,Greek Kerberos 是 希腊 神话 故事 中 一 种 3 个 
头 的 狗 , 是 地 狱 之 门 的 守卫 者 。Modern Kerberos 意 指 有 3 个 组 成 部 分 的 网 络 之 门 的 保 
卫 者 。“ 三 头 " 包 括 : 认证 (authentication) ,授权 (authorization)、 审 计 (audit) 。 

Kerberos 协议 的 基本 思想 : 用 户 只 需 输入 一 次 身份 验证 信息 就 可 以 赁 此 信息 获得 票 
据 (ticket) 来 访问 多 个 服务 , 即 SSO(Single Sign On , 单 击 登录 )。 用 户 在 对 应 用 服务 器 进 
行 访问 之 前 ,必须 先 从 作为 KDC 的 Kerberos 认证 服务 器 上 获取 到 该 应 用 服务 器 的 票据 。 
KDC 负责 用 户 对 服务 器 的 认证 和 服务 器 对 用 户 的 认证 ,通常 安装 在 不 为 应 用 程序 或 用 户 
提供 登录 的 服务 器 上 。 

Kerberos 系统 应 满足 如 下 四 项 需求 : 

(1) 安全 性 : 指 网 络 窃听 者 不 能 获得 必要 信息 以 假冒 其 他 用 户 ,Kerberos 应 足够 强 
壮 以 至 于 潜在 的 攻击 者 无 法 找到 它 的 弱点 。 

(2) 可 靠 性 : Kerberos 应 高 度 可 靠 并 且 应 借助 于 一 个 分 布 式 服务 器 体系 结构 ,使 得 
一 个 系统 能 够 备份 男 一 个 系统 。 

(3) 透明 性 : 在 理想 情况 下 用 户 除 了 要 求 输入 口令 以 外 应 感觉 不 到 认证 的 发 生 。 

(4) 可 伸缩 性 : 系统 应 能 够 支持 大 数量 的 客户 和 服务 器 ,这 意味 着 需要 一 个 模块 化 
的 分 布 式 结构 。 


8.3.1 简单 的 认证 会 话 


在 一 个 不 受 保护 的 网 络 中 ,最 大 的 安全 威胁 是 冒充 ,一 个 攻击 者 可 以 假装 成 其 他 用 户 
来 获得 未 授权 的 服务 。 因 此 ,服务 器 必须 能 够 证 实 申请 服务 的 用 户 身 份 。 在 这 里 使 用 一 
个 认证 服务 器 AS 将 所 有 用 户 C 的 口令 存 于 一 个 集中 式 数据 库 , 并 且 AS 与 每 一 个 应 用 
服务 器 V 共享 一 个 唯一 的 密 钥 ( 即 该 应 用 服务 器 的 主 密 钥 ) ,该 密 钥 已 经 通过 其 他 方法 安 
全 分 发 。 这 个 简单 的 认证 会 话 的 交互 过 程 如 下 : 

(1) C=>AS: IDc | Pc IDy 

(2) AS—>C: Ticket 

(3) C>V: IDc | Ticket 

Ticket=E(Kv,[ IDc || ADc IIDv]) 

其 中 : IDc 为 C 上 的 用 户 标 识 ,IDv 为 V 的 标识 ,Pc 为 C 上 的 用 户口 令 ,ADc 为 C 的 
网 络 地 址 ,Kv 为 V 与 AS 共享 的 对 称 密 钥 。 

(1) 用 户 登 录 工 作 站 ,请 求 访问 V, 用 户 工 作 站 上 的 客户 端 模块 C 要 求 用 户 输入 口 
令 , 并 将 包含 用 户 ID .服务 器 ID 和 用 户口 令 的 消息 送 往 AS。 
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(2) AS 查询 数据 库 , 检 查 用 户口 令 是 否 与 用 户 ID 匹配 ,并 判断 此 用 户 是 否 有 访问 V 
的 权限 。 如 果 两 项 检查 均 通 过 ,AS 认为 此 用 户 合法 。 为 了 要 让 V 确信 该 用 户 是 合法 的 ， 
AS 创建 一 个 包含 该 用 户 ID ,用 户 网 络 地 址 和 服务 器 ID 的 票据 ,用 AS 和 此 应 用 服务 器 
V 共享 的 主 密 钥 加 密 , 并 将 加 密 后 的 票据 返回 C。 由 于 票据 被 加 密 , 因 此 不 可 能 被 C 或 其 
他 攻击 者 修改 。 

(3) C 可 以 使 用 该 票据 向 V 提出 服务 请 求 : C 向 V 发 送 含有 用 户 ID 和 票据 的 消息 。 
V 对 票据 进行 解密 ,并 验证 票据 里 的 用 户 ID 是 否 与 消息 中 未 加 密 的 用 户 ID 一 致 ,如 果 
验证 通过 , 则 V 认为 该 用 户 真实 ,并 为 其 提供 服务 。 


8.3.2 更 加 安全 的 认证 会 话 


上 面 的 认证 会 话 存在 两 个 突出 问题 ; 

(1) 希望 能 使 用 户 输入 口令 的 次 数 最 少 。 假 设 每 个 票据 仅 能 用 一 次 ,那么 ,如 果 用 户 
C 早晨 在 一 个 工作 站 上 登录 查看 邮件 ,C 为 了 与 邮件 服务 器 通信 就 必须 提供 口令 得 到 票 
据 。 如 果 C 想 在 一 天 中 多 次 查询 邮件 , 则 每 一 次 都 需要 它 重 新 输入 口令 ,可 以 通过 重用 
票据 来 解决 这 一 问题 。 但 用 户 必 须 为 每 种 不 同 的 服务 创建 一 个 新 的 票据 。 如 果 一 个 用 户 
想 同 时 访问 打印 服务 器 .邮件 服务 器 .文件 服务 器 等 , 则 每 次 访问 必须 输入 用 户口 令 ,以 获 
得 新 的 票据 。 

(2) 上 述 会 话 中 涉及 口令 的 明文 传输 。 

为 了 解决 这 些 问 题 ,引入 一 个 票据 许可 服务 器 (TGS)。 以 下 是 一 个 更 安全 的 认证 
会 话 。 

© C=AS: IDc | ID。。 

© AS>C: E(Kec,Ticketw) 

Q@ C~>TGS: IDe || IDv | Tickete。 

@ TGS—C: Ticketv 

@C>V: IDc | Ticketv 

Ticketw, =E(Kw,, [IDc | ADc || IDis, || TS, || Lifetime, ]) 

Ticketv=E(Kv, [IDc || ADc || IDy || TS; | Lifetime; ]) 

用 户 首先 应 向 AS 申请 得 到 一 个 票据 许可 票据 Ticketw, ,由 用 户 工作 站 的 客户 端 模 
块 保存 ,每 当 用 户 申请 一 项 新 的 服务 ,客户 端 则 用 该 票据 证 明 自 己 的 身份 ;由 TGS 向 特定 
的 服务 授予 一 个 服务 许可 票据 Ticketv ,客户 将 每 个 服务 许可 票据 保存 后 ,在 每 次 请 求 特 
定 服务 时 使 用 该 票据 证 实 自己 的 身份 ,这 两 种 票据 都 是 可 以 重用 的 。 一 个 更 安全 的 认证 
会 话 过 程 如 图 8. 4 所 示 。 

(1) 用 户 C 通过 向 AS 发 送 用 户 ID、TGS 的 ID 来 请 求 一 张 代表 该 用 户 的 票据 许可 
票据 Tickets。 

(2) AS 发 回 一 张 加 密 过 的 票据 ,加 密 密 钥 是 由 用 户口 令 导 出 的 。 当 响应 抵达 客户 端 
时 ,客户 端 提示 用 户 输入 口令 ,由 此 产生 密 钥 ,并 对 收 到 的 报 文 解密 。 若 口令 正确 ,票据 就 
能 恢复 。 因 为 只 有 合法 用 户 才能 恢复 该 票据 ,用 户 就 能 使 用 口令 获得 Kerberos 的 信任 而 
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无 须 传递 明文 口令 。 

票据 含有 时 间 戳 和 生存 期 是 为 了 防止 对 手 的 如 下 攻击 : 首先 对 手 截获 该 票据 ,并 等 
待 用 户 退 出 工作 站 。 然 后 对 手 既 可 以 访问 那个 工作 站 ,也 可 以 将 他 的 网 络 地 址 设 为 被 攻 
击 的 工作 站 的 网 络 地 址 ,这 样 对 手 就 能 重 放 截获 的 票据 向 TGS 证 明 。 有 了 时 间 惟 和 生存 
期 ,就 能 说 明 票 据 的 有 效 时 间 长 度 。 


Ke 
== 
(DIDclIDe 
一 
(2) E(Kes Ticket,) 


(3) IDeIDV Ticket,, 


(5) IDdl|Tickety 


图 8.4 一 个 更 安全 的 认证 会 话 过 程 


(3) C 向 TGS 请求 一 张 服务 许可 票据 Ticketv 。 

(4) TGS 对 Ticketws 解 密 ,通过 检查 TGS 的 ID 是 否 存在 来 验证 解密 是 否 成 功 ,再 检 
验 生存 期 ,看 票据 是 否 过 期 ,然后 比较 用 户 ID 和 网 络 地 址 与 收 到 的 认证 用 户 的 信息 是 否 
一 致 ,如 果 以 上 三 者 验证 均 通 过 , 则 向 C 返回 一 张 访问 请 求 服务 的 许可 票据 。 如 果 用 户 
想 在 晚 些 时 候 访问 同一 服务 的 话 ,那么 客户 只 要 使 用 先前 获得 的 服务 许可 票据 就 可 以 了 ， 
而 无 须 用 户 再 输入 口令 。 

(5) C 向 服务 器 V 请 求 某 项 服务 , 即 C 向 V 传送 一 个 包含 用 户 ID 和 服务 许可 票据 
的 报 文 。 

这 种 新 的 会 话 模式 可 以 实现 在 每 次 用 户 会 话 时 仅 输入 一 次 口令 和 保护 用 户口 令 。 


8.3.3 Kerberos v4 认证 会 话 


虽然 上 述 会 话 与 第 一 种 方式 相 比 在 安全 性 方面 有 所 增强 ,但 仍然 存在 两 个 问题 : 

(1) 票据 许可 票据 的 生存 期 。 如 果 生 存 期 太 短 ( 例 如 几 分 钟 ), 则 用 户 将 总 被 要 求 输 
入 口令 ;如 果 生 存 期 太 长 (例如 几 小 时 ) 则 为 攻击 者 提供 了 大 量 重 放 机 会 (在 其 过 期 之 前 使 
用 ) ,将 会 使 攻击 者 得 到 合法 使 用 该 用 户 资源 和 文件 的 机 会 。 

(2) 服务 器 有 向 用 户 证 实 自己 身份 的 需求 。 没 有 这 样 的 认证 ,攻击 者 即 可 伪造 配置 
使 得 送 往 服务 器 的 消息 被 定向 到 其 他 站 点 ,假冒 的 服务 器 即 可 假装 成 真正 的 服务 器 捕获 
用 户 请 求 而 向 用 户 提供 虚假 服务 。 
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Kerberos v4 解决 了 上 述 问题 ,我 们 将 在 下 面 逐个 问题 讨论 ,实际 的 Kerberos v4 协 
议 如 图 8. 5 所 示 。 协 议 中 采用 简写 E(K,ABC) 表 示 用 密 钥 K 将 明文 ABC 加 密 后 的 密 
文 ;K; 是 客户 i 与 认证 服务 器 之 间 的 共享 密 钥 ; Ki 是 i 与 j 之 间 的 共享 会 话 密 钥 ; 
Lifetime; 是 第 i 个 有 效 期 (或 称 为 生存 期 );Ticket; 是 发 给 i 的 票据 ,该 票据 已 用 i 与 认证 
服务 器 之 间 的 共享 密 钥 加 密 , 用 于 向 i 证实 与 i 通信 的 客户 身份 ;Authenticatore 是 C 发 
给 TGS 服务 器 的 认证 信息 ,表明 拥有 票据 的 确实 是 客户 C 本 人 。 同 时 Kerberos v4 只 关 
注 认证 成 功 情况 ,认证 失败 时 ,服务 器 只 需 向 客户 端 发 送 认证 失败 消息 即 可 。 


DC—AS | muJrDTS， 


E(KolKeselIDie TSalLitetime,l Ticketas]) 
Cr Ticketies =E(Kies[Kesesll DAD, ND TS, lLifetimes]) 


(a) 服务 认证 交换 : 获得 票据 许可 票据 

图 C-TGS | IDJITicketeslAuthenticators 

EK, [Ke lID, TS Ticket,]) 

GTGS-C Ticketie=E(Kigs [KowalltDA AD ,DTS,lLifetimes]) 


Ticket, = EKvlKe IID,ADITD TS Litetimes]) 
Authenticator.=E(K. ‘sslID.,|AD.,ITS;]) 


(b) 服务 许可 票据 交换 : 获取 服务 许可 票据 


@C—V Ticket, lAuthenticator. 


的 Ke [TSs+1]) (用 于 相互 认证 ) 
(SS Ticket,=E(K,, [KID.IAD,ID ,TS Litetime,]) 
Authenticator.=E(K. ,IDJIAD.|TS:]) 


(©) 客户 端 /服务 器 认证 交换 :获取 服务 
图 8.5 Kerberos v4 协议 


(1) 票据 许可 票据 的 捕获 问题 ,其 威胁 是 攻击 者 窃取 票据 并 在 其 生存 期 间 内 使 用 。 
为 了 解决 这 一 问题 ,我 们 让 AS 同时 用 安全 方式 为 C 和 TGS 提供 一 条 秘密 信息 (C 和 
TGS 共享 的 对 称 密 钥 KK.) ,然后 客户 端 用 该 秘密 信息 Kw 加 密 认证 码 Authenticatore， 
以 同样 的 安全 方式 向 TGS 证 实 自己 的 身份 。 

(2) 如 果 需 要 相互 认证 , 则 V 在 消息 @ 发 送 一 个 应 答 消息 。V 返回 的 消息 中 ,时 间 
戳 的 值 为 认证 消息 时 间 戳 的 值 加 1, 并 用 会 话 密 钥 加 密 。C 解密 消息 后 可 得 到 增加 后 的 
时 间 截 ,由 于 消息 是 被 会 话 密 钥 加 密 的 .C 可 以 确信 此 消息 只 可 能 由 V 生成 。 

在 实现 相互 认证 的 同时 ,C 与 V 共享 一 个 对 称 的 会 话 密 钥 K。, ,该 密 钥 可 以 用 于 加 
密 在 它们 之 间 传 递 的 消息 或 交换 新 的 随机 的 会 话 密 钥 。 

Kerberos 协议 的 思想 在 现实 世界 中 也 经 常 使 用 。 例 如 ,A 想 去 乘坐 B 航班 ( 即 需 要 
申请 使 用 某 个 资源 ) , 则 他 首先 需要 去 公安 局 获取 身份 证 ( 即 取 得 票据 许可 票据 ) ;其 次 ,他 
需要 拿 着 身份 证 到 航空 公司 买 机 票 ( 即 获取 服务 许可 票据 ) ;最 后 ,在 机 场 出 示 身 份 证 和 机 
票 才能 登 机 ( 即 获取 服务 ) 。 身 份 证 、 机 票 等 都 是 有 时 间 戳 .有效期 等 时 间 信 息 的 ,在 有 效 
期 内 不 需要 再 次 认证 ,这 也 是 Kerberos 协议 一 次 认证 、 多 次 登录 情形 的 现实 写照 。 
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8.3.4 Kerberos 的 跨 域 认 证 


一 个 完整 的 Kerberos 环境 包括 一 个 Kerberos 认证 服务 器 (AS 和 TGS) 若干 工作 站 
和 若干 应 用 服务 器 ,这 样 的 环境 被 称 为 一 个 Kerberos 域 ,需要 满足 如 下 要 求 

(1) Kerberos 服务 器 必须 在 其 数据 库 中 存放 有 用 户 标 识 (UID) 和 用 户口 令 散 列 ,所 
有 用 户 必 须 在 Kerberos 服务 器 注册 。 

(2) Kerberos 服务 器 必须 与 每 个 应 用 服务 器 共享 一 个 对 称 密 钥 ( 即 该 应 用 服务 器 的 
主 密 钥 ) ,所 有 应 用 服务 器 必须 在 Kerberos 服务 器 上 注册 。 

在 一 个 Kerberos 服务 器 中 注册 的 客户 与 服务 器 属于 同一 个 行政 区 域 ,隶属 于 不 同行 
政 区 域 的 客户 /服务 器 网 络 通常 构成 了 不 同 域 , 但 由 于 一 个 域 中 的 用 户 可 能 需要 访问 另 一 
个 域 中 的 服务 器 ,而 某 些 服务 器 也 希望 能 给 其 他 域 的 用 户 提供 服务 ,所 以 也 应 该 为 这 些 用 


户 提供 认证 。Kerberos 提供 了 一 种 支持 这 种 跨 域 认证 的 机 制 , 跨 域 认 证 如 图 8. 6 所 示 。 
为 支持 跨 域 认证 ,应 满足 下 一 个 要 求 。 


[一 一 一 1 向 AS 请 求 本 地 TGS 的 票据 
Client 2. 本 地 TGS 的 票据 
上 一 3. 向 本 地 TGS 请 求 远 端 TGS 的 票据 
人 4. 远 端 TGS 的 昔 气 


Realm A 


ASM 


Er 


Realm B 


图 8.6 跨 域 认 证 


(3) 每 个 互 操作 域 的 Kerberos 服务 器 应 共享 一 个 对 称 密 钥 ,双方 的 Kerberos 服务 器 


应 相互 注册 。 这 种 模式 要 求 每 一 个 域 的 Kerberos 服务 器 必须 相互 信任 其 他 域 的 
Kerberos 服务 器 对 其 用 户 的 认证 。 


这 种 方法 带 来 的 一 个 问题 是 对 多 域 之 间 的 认证 ,可 伸缩 性 不 好 。 如 果 有 N 个 域 , 则 
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必须 有 N(N 一 1)/2 次 安全 密 钥 交换 ,每 个 Kerberos 域 才 可 以 与 其 他 Kerberos 域 交 互 。 


8.3.5 Kerberos 的 优 缺 点 


Kerberos 认证 协议 比 其 他 传统 的 认证 协议 更 安全 、 更 灵活 、 更 有 效 。 

(1) 它 有 较 高 的 认证 性 能 : 一 旦 用 户 获 得 过 访问 某 个 服务 器 的 Ticket, 该 服务 器 就 
能 根据 这 个 Ticket 实现 对 用 户 的 认证 ,而 无 需 KDC 的 再 次 参与 。 

(2) 它 实现 了 双向 认证 : 传统 的 认证 基于 这 样 一 个 前 提 : 用 户 访问 的 远程 的 服务 器 
是 可 信和 的、 无 需 对 它 进 行 认证 ,所 以 不 曾 提供 双向 认证 的 功能 。Kerberos 弥补 了 这 个 不 
足 : 用 户 在 访问 服务 器 的 资源 之 前 ,可 以 要 求 对 服务 器 的 身份 进行 认证 。 

(3) 它 的 互 操作 性 强 : Kerberos 最 初 由 MIT 首创 ,现在 已 经 成 为 一 个 成 熟 的 ,基于 
IETF 标准 的 协议 ,被 广泛 接受 ,所 以 对 于 不 同 的 平台 可 以 进行 互 操作 。 

(4) 它 实 现 起 来 成 本 低廉 : 目前 Linux 和 Windows 都 内 置 了 对 它 的 支持 ,因为 它 需 
要 的 只 是 一 个 集中 的 KDC 和 层次 化 的 信任 管理 。 

(5) Kerberos 本 身 不 支持 访问 控制 ,但 是 Kerberos v5 可 以 传递 其 他 服务 产生 的 访 
问 控制 信息 , 即 支持 与 其 他 访问 控制 服务 的 集成 。 这 是 一 般 的 安全 协议 所 没有 实现 的 。 

Kerberos 认证 协议 的 主要 安全 问题 如 下 : 

(1) 原来 的 认证 很 可 能 被 存储 或 被 蔡 换 ,虽然 时 间 戳 是 专门 用 于 防止 重 放 攻 击 的 ,但 
在 票据 的 有 效 时 间 内 仍然 可 能 奏效 。 假 设 在 一 个 Kerberos 服务 域内 的 全 部 时 钟 保 持 同 
步 , 收 到 消息 的 时 间 在 规定 时 间 内 (一 般 可 以 规定 :=5 分 钟 ) ,就 认为 该 消息 是 新 的 。 而 
事实 上 ,攻击 者 可 以 事先 把 伪造 的 消息 准备 好 ,一 旦 得 到 票据 就 马上 发 出 ,这 在 5 分 钟 内 
是 难以 查 出 来 的 。 

(2) 认证 票据 的 正确 性 是 基于 网 络 中 所 有 的 时 钟 保持 同步 ,如 果 主 机 的 时 间 发 生 错 
误 ,原来 的 票据 是 可 以 被 蔡 换 的 。 如 果 服 务 器 的 时 间 提 前 或 落后 于 C 和 AS 的 时 间 ,服务 
器 可 能 会 把 有 效 的 票据 看 成 是 一 个 重 放 攻击 从 而 拒绝 它 。 大 多 数 网 络 的 时 间 协 议 都 是 不 
安全 的 ,而 在 分 布 式 系统 中 这 将 成 为 极为 严重 的 问题 。 

(3) Kerberos 防止 口令 猜测 攻击 的 能 力 很 弱 ,攻击 者 可 以 收集 大 量 的 票据 ,通过 计算 
和 密 钥 分 析 进 行 口令 猜测 。 口 令 不 够 强 时 就 更 不 能 有 效 地 防止 口令 猜测 攻击 。 

(4) 实际 上 ,最 为 严重 的 攻击 是 恶意 软件 攻击 。Kerberos 认证 协议 依赖 于 Kerberos 
软件 的 绝对 可 信 ,而 攻击 者 可 以 使 用 执行 Kerberos 协议 和 记录 用 户口 令 软 件 来 代替 所 有 
用 户 的 Kerberos 软件 ,达到 攻击 目的 。 一 般 而 言 , 装 在 不 安全 计算 机 内 的 安全 系统 都 会 
面临 这 一 问题 。 

另外 ,Kerberos 很 难 实现 用 户 行为 的 不 可 否认 性 ;实现 起 来 比较 复杂 ,要 求 通信 的 次 
数 多 ,计算 量 较 大 ;KDC 通信 流量 和 负担 很 重 ,容易 形成 瓶 贷 ;Kerberos 很 难 在 不 同 的 单 
位 之 间 相 互 认证 ;在 分 布 式 系统 中 ,认证 服务 器 星罗棋布 , 域 间 会 话 密 钥 的 数量 惊人 ,和 密 钥 
的 管理 分配 存储 都 是 很 严峻 的 问题 。 

在 如 下 两 个 方面 可 以 对 Kerberos 加 以 改进 : 
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1. 采用 公开 加 密 算法 代 蔡 对 称 加 密 算 法 进行 认证 


Kerberos 的 很 多 缺陷 均 是 由 于 只 采用 对 称 密 钥 技术 造成 的 ,这 影响 了 系统 的 扩展 性 
和 易 管 理性 。Kerberos 在 最 初 设计 时 之 所 以 没有 使 用 公 钥 体系 ,是 因为 当时 应 用 公 钥 体 
系 的 某 些 条 件 不 完全 成 熟 。 目 前 这 些 条 件 已 经 成 熟 ,如 果 能 将 公 钥 技术 有 机 地 融合 到 
Kerberos 中 , 便 能 克服 上 述 缺 点 。 从 发 展 眼光 来 看 ,将 公 钥 体系 结合 进 现 有 的 Kerberos 
系统 中 是 一 种 趋势 。 

在 Kerberos 中 我 们 可 以 使 每 个 用 户 都 有 一 对 公 钥 / 私 钥 对 ,用 户 公 钥 可 对 所 有 人 公 
开 ,而 私 钥 以 文件 的 形式 存放 。 每 个 用 户 有 一 个 口令 ,根据 该 口令 可 生成 用 户 的 加 密 密 
钥 , 来 加 密 私 钥 文件 。 需 要 说 明 的 是 ,改进 协议 中 的 其 他 处 理 步 骤 没 有 发 生变 化 ,这 样 一 
方面 ,在 用 户口 令 安全 性 不 强 时 ,有 效 防止 了 攻击 者 可 以 收集 大 量 的 票据 ,通过 计算 和 密 
钥 分 析 来 进行 口令 猜测 ,同时 避免 了 由 于 Kerberos 系统 本 身 作 大 量 的 改动 而 可 能 导致 的 
问题 。 


2. 采用 随机 数 技术 代替 时 间 截 


Kerberos 为 了 防止 重 放 攻击 ,在 票据 和 认证 符 中 都 加 入 了 时 间 截 ,这 就 要 求 客户 ,AS 
服务 器 .TGS 服务 器 和 应 用 服务 器 的 机 器 时 间 要 大 致 保持 一 致 ,这 在 分 布 式 网 络 环境 下 
其 实 是 很 难 达到 的 。 如 果 在 系统 中 ,采用 随机 数 技术 代 蔡 时 间 戳 ,可 以 避免 网 络 中 时 钟 难 
于 同步 的 问题 ,同时 也 可 以 较为 有 效 地 防止 重 放 攻击 。 


8.4 访问 控制 


如 果 说 身份 认证 技术 解决 了 用 户 “ 是 谁 ” 的 问题 ,那么 用 户 “ 能 够 做 什么 ” 则 是 由 访问 
控制 (access control) 决 定 的 。 访 问 控 制 技术 作为 国际 标准 化 组 织 定 义 的 5 项 标准 安全 服 
务 之 一 ,是 实现 信息 系统 安全 的 一 项 重要 机 制 。 美 国 国防 部 的 可 信 计 算 机 系统 评估 标准 
把 访问 控制 作为 评价 系统 安全 的 主要 指标 之 一 ,因此 ,访问 控制 对 提高 系统 安全 的 重要 性 
是 不 言 而 喻 的 ,而 授权 则 是 实施 访问 控制 的 基础 。 

本 节 首 先 介 绍 访问 控制 的 基本 概念 ,接着 介绍 几 种 常用 的 访问 控制 技术 ,包括 强制 访 
问 控制 .自主 访 问 控制 、 基 于 角色 的 访问 控制 。 


8.4.1 访问 控制 的 基本 原理 


访问 控制 是 实现 既定 安全 策略 的 系统 安全 技术 ,目标 是 防止 对 任何 资源 (如 计算 资 
源 、 通 信 资 源 或 信息 资源 ) 进 行 非 授权 的 访问 。 所 谓 非 授权 访问 包括 未 经 授权 的 使 用 、 油 
露 、 修 改 、 销 毁 以 及 颁发 指令 等 。 通 过 访问 控制 服务 ,可 以 限制 对 关键 资源 的 访问 ,防止 非 
法 用 户 的 侵入 或 者 因 合法 用 户 的 不 慎 操 作 所 造成 的 破坏 。 

访问 控制 系统 一 般 包括 : 

， 主 体 (subject): 发 出 访问 操作 、 存 取 要 求 的 主动 方 ,通常 指 用 户 或 用 户 的 某 个 
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进程 。 
”客体 (object) : 主体 试图 访问 的 一 些 资源 。 
， 安 全 访问 策略 : 一 套 规则 ,用 于 确定 一 个 主体 是 否 对 客体 拥有 访问 能 力 。 
访问 控制 功能 组 件 包 括 了 4 个 部 分 (如 图 8.7 所 示 ) : 发 起 者 (initiator) ,访问 控制 执 
行 功 能 (Access control Enforcement Function, AEF) ,访问 控制 决策 功能 (Access control 
Decision Function ,ADF) 以 及 目标 (target) 。 


提交 执行 
b 一 一 -| 访问 控制 执行 功能 AEF 未 
发 下 者。 访 辣 请 求 加 访问 请 求 一 虹 
主体 客体 
决策 请 求 决策 结果 
访问 控制 决策 功能 ADF 


图 8.7 访问 控制 系统 示意 图 


发 起 者 是 指 信息 系统 中 系统 资源 的 使 用 者 ,是 访问 控制 系统 中 的 主体 ;目标 是 指 被 发 
起 者 访问 或 试图 访问 的 基于 计算 机 或 通信 的 实体 ,是 访问 控制 系统 中 的 客体 ;AEF 的 功 
能 是 负责 建立 起 发 起 者 与 目标 之 间 的 通信 桥梁 , 它 必须 按照 ADF 的 授权 查询 指示 来 实 
施 上 述 动作 ,也 就 是 说 , 当 发 起 者 对 目标 提出 执行 操作 要 求 时 ,AEF 会 将 这 个 请 求 信息 通 
知 ADF ,并 由 ADF 作出 是 否 允 许 访问 的 判断 。 在 信息 系统 中 ,ADF 可 以 说 是 访问 控制 
的 核心 。 当 ADF 对 发 起 者 提出 的 访问 请 求 进行 判断 时 ,所 依据 的 是 一 套 安 全 访问 策略 。 

在 网 络 系 统 中 包含 很 多 需要 保护 的 资源 ,这 些 资源 可 能 是 硬件 ,如 CPU、 打 印 机 或 者 
内 存 区 域 , 也 可 能 是 软件 ,如 进程 文件 ,数据 库 记 录 等 。 根 据 面向 对 象 技术 的 思想 ,可 以 
将 这 些 资 源 看 成 对 象 ,它们 在 整个 系统 中 有 自己 唯一 命名 的 名 称 , 并 且 每 个 对 象 都 有 一 个 
有 限 的 操作 集合 ,定义 了 可 以 对 它 进 行 的 操作 。 根 据 能 够 控制 的 访问 对 象 粒度 ,我 们 可 以 
将 访问 控制 分 为 粗 粒 度 (coarse grained) 访 问 控制 .中 粒度 (medium grained) 访 问 控制 和 
细 粒 度 (fine grained) 访 问 控制 。 这 里 并 没有 严格 定义 的 区 分 标准 ,但 是 人 们 通常 认为 ， 
能 够 控制 到 文件 ,甚至 记录 对 象 的 访问 可 以 称 为 细 粒 度 访问 控制 。 

计算 机 信息 系统 访问 控制 技术 最 早产 生 于 20 世纪 60 年 代 , 随 后 出 现 了 两 种 重要 的 
访问 控制 技术 : 自主 访问 控制 (Discretionary Access Control，DAC) 和 强制 访问 控制 
(Mandatory Access Control， MAC) 。 它 们 在 多 用 户 系 统 ( 如 各 种 UNIX 系统 ) 中 得 到 广 
泛 的 应 用 。 近 年 来 ,许多 新 的 访问 控制 方式 不 断 涌现 ,如 基于 角色 的 访问 控制 。 


8.4.2 自主 访问 控制 


自主 访问 控制 最 早出 现在 20 世纪 70 年 代 初期 的 分 时 系统 中 , 它 是 多 用 户 环境 下 最 
常用 的 一 种 访问 控制 技术 ,也 是 目前 计算 机 系统 中 实现 最 多 的 访问 控制 机 制 。 在 自主 访 
问 控制 的 机 制 下 ,客体 的 拥有 者 全 权 管理 有 关 该 客体 的 访问 授权 ,有 权 泄 露 、 修 改 该 客体 
的 有 关 信 息 。 也 就 是 说 ,允许 某 个 主体 显 式 地 指定 其 他 主体 对 该 主体 所 拥有 的 信息 资源 
是 否 可 以 访问 以 及 可 执行 的 访问 类 型 。 因 此 ,自主 访问 控制 又 被 称 为 基于 拥有 者 的 访问 
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控制 。 

自主 访问 控制 中 用 户 可 以 随意 地 将 自己 拥有 的 访问 权限 赋 给 其 他 用 户 , 之 后 还 可 以 
随意 地 将 所 赋 权 限 撤销 ,这 使 得 管理 员 难 以 确定 哪些 用 户 对 哪些 资源 有 访问 权限 ,不 利于 
实现 统一 的 全 局 访问 控制 。 因 此 ,自主 访问 控制 技术 虽然 在 一 定 程度 上 实现 了 权限 隔离 
和 资源 保护 ,但 是 在 资源 共享 方面 难以 控制 。 

实现 自主 访问 控制 最 直接 的 方法 是 利用 访问 控制 矩阵 。 访 问 控制 矩阵 的 每 一 行 表示 
一 个 主体 ,每 一 列表 示 一 个 受 保护 的 客体 ,矩阵 中 的 元 素 表示 主体 可 对 客体 进行 的 访问 模 
式 ( 例 如 读 、 写 、 执 行 、 修 改 、 删 除 等 ) 。 

表 8. 1 是 一 个 访问 访问 控制 矩阵 的 示例 , 表 中 的 John、Alice、Bob 是 3 个 主体 ,客体 
有 4 个 文件 和 2 个 账户 。 需 要 指出 的 是 ,Own 的 确切 含义 可 能 因 不 同 的 系统 而 异 , 通 常 
一 个 文件 的 Own 权限 可 以 授予 (authorize) 或 者 撤销 (Crevoke) 其 他 用 户 对 该 文件 的 访问 
控制 权限 ,例如 John 拥有 文件 的 Own 权限 ,他 就 可 以 授予 Alice 读 或 者 Bob 读 、 写 的 权 


限 ,也 可 以 撤销 赋 给 他 们 的 权限 。 
表 8.1 访问 控制 矩阵 示例 
文件 1 文件 2 文件 3 文件 4 账户 1 账户 2 
Own Own ly 
ql 
John R R 
Ww Ww Credit 
De Inquir Inquir 
E quilry qulry 
Me 本 村 Debit Credit 
Ww 
Own 
R Inquiry 
Boh Ww BS Debit 


访问 控制 矩阵 虽然 直观 ,但 是 我 们 可 以 发 现 并 不 是 每 个 主体 和 客体 之 间 都 存在 着 权 
限 关 系 , 相 反 , 实 际 的 系统 中 虽然 可 能 有 很 多 的 主体 和 客体 ,但 主体 和 客体 之 间 的 权限 关 
系 可 能 并 不 多 ,这 样 就 存在 着 很 多 的 空白 项 。 因 此 ,在 实现 自主 访问 控制 时 ,通常 不 是 将 
和 矩阵 整个 地 保存 起 来 ,因为 这 样 做 效率 会 很 低 。 实 际 的 方法 是 基于 矩阵 的 行 (主体 ) 或 列 
(客体 ) 来 表示 访问 控制 信息 。 


1. 基于 行 的 自主 访问 控制 


基于 行 的 自主 访问 控制 是 在 每 个 主体 上 都 附加 一 个 该 主体 可 访问 的 客体 的 列表 。 根 
据 列表 的 内 容 不 同 , 又 有 不 同 的 实现 方式 。 主 要 利用 能 力 表 (capability list) 、 前 缀 表 
(profiles list) 和 口令 (password) 来 实现 。 

其 中 最 常用 的 方法 是 利用 能 力 表 实现 。 能 力 决定 用 户 是 否 可 以 对 客体 进行 访问 以 及 
进行 何 种 模式 的 访问 ,拥有 相应 能 力 的 主体 可 以 以 给 定 的 模式 访问 客体 。 

如 图 8. 8 所 示 ,在 访问 能 力 表 中 ,由 于 它 着 眼 于 某 一 主体 的 访问 权限 ,以 主体 为 出 发 
点 描述 控制 信息 ,因此 很 容易 获得 一 个 主体 所 被 授权 可 以 访问 的 客体 及 其 权限 ,如 果 要 求 
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获得 对 某 一 特定 客体 有 特定 权限 的 所 有 主体 就 比较 困难 。 而 且 , 当 一 个 客体 被 删除 之 后 ， 
系统 必须 每 个 用 户 的 表 上 清除 该 客体 相应 的 条 目 。 


文件 ! 文件 3 

Own Own 
John 一 一 R R 
Ww Ww 


文件 2 3 文件 4 


Alice 一 一 R 


区 而 文件 2 文件 4 

Own 
Bob—~| YS R 
W 


图 8.8 访问 能 力 表示 意图 


2. 基于 列 的 自主 访问 控制 


在 基于 列 的 自主 访问 控制 中 ,每 个 客体 都 附加 一 个 可 访问 它 的 主体 的 明细 表 。 基 于 
列 的 自主 访问 控制 最 常用 的 实现 方式 是 访问 控制 表 。 

访问 控制 表 (Access Control List，ACL) 是 实现 基于 列 的 自主 访问 控制 采用 最 多 的 
一 种 方式 。 它 可 以 对 某 一 特定 资源 指定 任意 一 个 用 户 的 访问 权限 ,还 可 以 将 有 相同 权限 
的 用 户 分 组 ,并 授予 组 的 访问 权 。 图 8. 9 所 示 为 访问 控制 表 的 示例 。 

ACL 的 优点 在 于 表述 直观 ,易于 理解 ,而 且 比 较 容易 查 出 对 某 一 特定 资源 拥有 访问 
权限 的 所 有 用 户 , 有 效 地 实施 授权 管理 。 在 一 些 实际 应 用 中 ,还 对 ACL 作 了 扩展 ,从 而 
进一步 控制 用 户 的 合法 访问 时 间 , 决 定 是否 需 要 审计 等 。 

尽管 ACL 灵活 方便 ,但 将 它 应 用 到 网 络 规模 较 大 、 需 求 复 杂 的 企业 的 内 部 网 络 时 ， 
ACL 需 对 每 个 资源 指定 可 以 访问 的 用 户 或 组 以 及 相应 的 权限 。 当 网 络 中 资源 很 多 时 , 需 
要 在 ACL 中 设 定 大 量 的 表 项 。 而 且 , 当 用 户 的 职位 、 职 责 发 生变 化 时 ,为 反映 这 些 变化 ， 
管理 员 需 要 修改 用 户 对 所 有 资源 的 访问 权限 。 另 外 ,在 许多 组 织 中 ,服务 器 一 般 是 彼此 独 
立 的 ,各 自 设置 自己 的 ACL ,为 了 实现 整个 组 织 范围 内 的 一 致 的 控制 政策 ,需要 各 管理 部 
门 的 密切 合作 。 所 有 这 些 使 得 访问 控制 的 授权 管理 变 得 费力 而 烦琐 , 且 容 易 出 错 。 

上 述 两 种 自主 访问 控制 方法 都 存在 一 些 局 限 性 ,主要 体现 在 :资源 管理 比较 分 散 ; 用 
户 间 的 关系 不 能 在 系统 中 体现 出 来 ,不 易 管 理 ; 信 息 容易 泄露 .无 法 抵御 特洛伊 木马 的 攻 
击 。 在 自主 访问 控制 下 ,一 旦 带 有 特洛伊 木马 的 应 用 程序 被 激活 ,特洛伊 木马 可 以 任意 汇 
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John Alice Bob 
Own R 
文件 1 R 由 Ww 
Ww 
Alice Bob 
Own 
文件 2 一作 民 
Ww R 
John Alice 
Own 
文件 3 一 | RR Ww 
区 
Alice Bob 
_ Own 
文件 4 R R 
Ww 


图 8.9 访问 控制 表示 意图 


露 和 破坏 接触 到 的 信息 ,甚至 改变 这 些 信息 的 访问 授权 模式 。 

在 自主 访问 控制 系统 中 ,一 个 拥有 一 定 访问 权限 的 主体 可 以 直接 或 间接 地 将 权限 传 
给 其 他 主体 。 管 理 员 难 以 确定 哪些 用 户 对 哪些 资源 有 访问 权限 ,不 利于 实现 统一 的 全 局 
访问 控制 。 其 次 ,在 许多 组 织 中 ,用 户 对 他 所 能 访问 的 资源 并 不 具有 所 有 权 , 组 织 本 身 才 
是 系统 中 资源 的 真正 所 有 者 。 各 组 织 一 般 希 望 访 问 控制 与 授权 机 制 的 实现 结果 能 与 组 织 
内 部 的 规章 制度 相 一 致 ,并 且 由 管理 部 门 统一 实施 访问 控制 ,不 允许 用 户 自主 地 处 理 。 显 
然 自 主 访问 控制 已 不 能 适应 这 些 需 求 。 


8.4.3 强制 访问 控制 


顾名思义 ,强制 访问 控制 是 “强加 ”给 访问 主体 的 , 即 系统 强制 主体 服从 访问 控制 
政策 。 
强制 访问 控制 的 基本 思想 是 : 每 个 主体 都 有 既定 的 安全 属性 ,每 个 客体 也 都 有 既定 
安全 属性 ,主体 对 客体 是 否 能 执行 特定 的 操作 ,取决 于 二 者 安全 属性 之 间 的 关系 。 这 些 安 
全 属性 不 能 改变 的 , 它 是 由 管理 部 门 ( 如 安全 管理 员 ) 自 动 地 按照 严格 的 规则 来 设置 ,不 像 
访问 控制 表 那 样 可 以 由 用 户 直接 或 间接 地 修改 。 当 主体 对 客体 进行 访问 时 ,根据 主体 的 
安全 属性 和 访问 方式 ,比较 主体 的 安全 属性 和 客体 的 安全 属性 ,从 而 决定 是 否 允许 主体 的 
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访问 请 求 。 主 体 不 能 改变 自身 的 或 任何 客体 的 安全 属性 ,包括 不 能 改变 属于 用 户 的 客体 
的 安全 属性 ,而 且 主 体 也 不 能 将 自己 拥有 的 访问 权限 授予 其 他 主体 。 

强制 访问 控制 和 自主 访问 控制 是 两 种 不 同类 型 的 访问 控制 机 制 , 它 们 常 结合 起 来 使 
用 。 仅 当主 体能 够 同时 通过 自主 访问 控制 和 强制 访问 控制 检查 时 , 它 才 能 访问 一 个 客体 。 
利用 自主 访问 控制 ,用 户 可 以 有 效 地 保护 自己 的 资源 ,防止 其 他 用 户 的 非法 获取 ;而 利用 
强制 访问 控制 可 提供 更 强 有 力 的 安全 保护 ,使 用 户 不 能 通过 意外 事件 和 有 意识 的 误 操 作 
逃避 安全 控制 。 

强制 访问 控制 特别 适用 于 多 层次 安全 级 别 的 军事 应 用 中 ,也 适用 于 政府 部 门 、 金 融 部 
门 等 。 

事实 上 ,人 们 一 般 都 将 强制 访问 控制 与 多 级 安全 (MLS) 体 系 相提并论 。 多 级 安全 体 
系 由 美国 国防 部 定义 的 ,起 源 于 20 世纪 60 年 代 末 期 。 其 实 美国 国防 部 对 人 工 管理 和 存 
储 机 密 性 早 有 严格 的 政策 , 即 军事 安全 策略 。 多 级 安全 是 军事 安全 策略 的 数学 描述 。 
军事 安全 策略 的 主要 思想 是 : 预先 将 主体 和 客体 分 级 , 即 定义 用 户 的 可 信任 级 别 及 
信息 敏感 程度 ,然后 根据 主体 和 客体 的 级 别 标记 来 确定 访问 模式 ,用 户 的 访问 必须 遵守 安 
全 政策 划分 的 安全 级 别 的 设 定 以 及 有 关 访 问 权限 的 设 定 。 当 用 户 提出 访问 请 求 时 ,系统 
对 主客 体 两 者 进行 比较 以 确定 访问 是 否 合 法 。 

安全 级 是 由 两 方面 的 内 容 构成 的 ， 

(1) 保密 级 别 : 又 叫 敏感 级 别 , 例 如 可 以 分 为 绝密 级 、 机 密级 、 秘 密级 .无 密级 等 。 

(2) 范畴 集 : 是 指 在 组 织 系统 中 ,根据 人 员 的 不 同 职能 所 划分 的 不 同 领域 。 例 如 人 

安全 级 包括 一 个 保密 级 别 和 任意 多 个 范畴 。 安 全 级 通常 写成 保密 级 别 后 跟随 一 个 范 
畴 集 的 形式 ,如 { 机 密 : 人 事 处 ,财务 处 } 。 范 畴 集 可 以 为 空 。 

在 安全 级 中 保密 级 别 是 线性 排列 的 ,例如 ,公开 二 秘密 志 机 密 二 绝密 ;范畴 则 是 互相 
独立 和 无 序 的 ,两 个 范畴 集 之 间 的 关系 是 包含 .被 包含 或 无 关 。 

强制 访问 控制 最 主要 的 优势 在 于 它 有 阻止 特洛伊 木马 的 能 力 。 一 个 特洛伊 木马 是 在 
一 个 执行 某 些 合法 功能 的 程序 中 隐藏 的 代码 , 它 利用 运行 此 程序 的 主体 的 权限 违反 安全 
策略 ,通过 伪装 成 有 用 的 程序 在 进程 中 泄露 信息 。 

阻止 特洛伊 木马 的 策略 是 基于 非 循 环 信息 流 ,所 以 在 一 个 级 别 上 读 信息 的 主体 一 定 
不 能 在 另 一 个 违反 非 循环 规则 的 安全 级 别 上 写 信息 。 所 谓 上 读 , 指 的 是 低级 别 的 用 户 能 
够 读 高 敏感 度 区 域 ,下 读 指 低级 别 用 户 只 能 读 级 别 更 低 的 低 敏感 信息 ,不 能 读 高 级 别 敏感 
信息 。 所 谓 上 写 , 指 的 是 不 允许 高 敏感 的 信息 写 人 低 敏 感 区 域 ,下 写 则 允许 高 敏感 度 的 信 
息 写 入 低 敏感 区 域 。 一 般 用 上 读 / 下 写 来 保证 数据 完整 性 及 利用 下 读 / 上 写 来 保证 数据 的 
机 密 性 ,同样 ,在 一 个 安全 级 别 上 写 信息 的 主体 也 一 定 不 能 在 另 一 个 违反 非 循环 规则 的 安 
全 级 别 上 读 信息 。 由 于 强制 访问 控制 策略 是 通过 梯度 安全 标签 实现 信息 的 单 向 流通 ,所 
以 它 可 以 很 好 地 阻止 特洛伊 木马 的 泄密 。 

强制 访问 控制 的 主要 缺陷 在 于 实现 工作 量 太 大 ,管理 不 善 , 不 够 灵活 ,而 且 强制 访问 
控制 过 于 偏重 保密 性 ,对 其 他 方面 如 系统 连续 工作 能 力 、 授 权 的 可 管理 性 等 考虑 不 足 。 
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8.4.4 基于 角色 的 访问 控制 


随 着 网 络 技术 的 发 展 ,网 络 应 用 系统 所 面临 的 一 个 难题 就 是 如 何 对 日 益 复 杂 的 数据 
资源 进行 安全 管理 。 传 统 的 访问 控制 技术 都 是 由 主体 和 访问 权限 直接 发 生 关系 ,在 实际 
应 用 中 ,当主 体 和 客体 的 数目 都 非常 巨大 时 .传统 访问 控制 技术 已 远 远 不 能 胜任 复杂 的 授 
权 管理 的 要 求 。 

目前 ,大 部 分 信息 资源 服务 器 对 信息 没有 进行 统一 管理 ,特别 是 没有 根据 信息 的 安全 
要 求 来 进行 管理 。 有 些 资 源 服务 器 虽然 采取 了 一 些 诸如 身份 认证 访问 控制 等 安全 策略 , 
但 由 于 管理 的 粒度 太 弱 ,无 法 做 到 对 资源 的 全 面 控制 。 还 有 些 资源 服务 器 根据 信息 的 秘 
密 程度 分 为 未 知 、 普 通 、 秘 密 、 机 密 、 绝 密 5 级 ,然后 给 用 户 赋予 访问 权限 ,这 种 方式 在 一 定 
程度 上 能 解决 信息 的 非 授 权 访 问 问题 ,但 这 种 方式 往往 会 出 现 为 用 户 分 配 的 权限 比 它 实 
际 应 该 具有 的 权限 要 大 的 情况 ,也 就 是 说 ,没有 实现 最 小 特权 机 制 。 这 些 问 题 都 给 信息 资 
源 的 安全 留 下 了 重大 隐患 。 

为 了 满足 新 的 安全 需求 ,近年 来 各 国学 者 对 访问 控制 技术 进行 了 大 量 研究 ,一 方面 ， 
对 传统 访问 控制 技术 的 不 足 进 行 改进 , 另 一 方面 ,研究 新 的 访问 控制 技术 以 适应 当前 计算 
机 信息 系统 的 安全 需求 ,从 而 产生 了 一 些 更 为 灵活 的 访问 控制 技术 。 其 中 ,基于 角色 的 访 
问 控制 (Roll-Based Access Control,， RBAC) 的 应 用 最 为 广泛 。RBAC 的 概念 早 在 20 世 
纪 就 已 经 提出 ,但 在 相当 长 的 一 段 时 间 内 没有 得 到 人 们 的 重视 。 进 入 20 世纪 90 年 代 , 安 
全 需求 的 发 展 使 得 RBAC 又 引起 人 们 极 大 的 关注 ,目前 美国 很 多 学 者 和 研究 机 构 都 在 从 
事 这 方面 的 研究 , NIST(National Institute of Standard Technology) 的 研究 人 员 认 为 
RBAC 将 成 为 DAC 和 MAC 的 蔡 代 者 。 

RBAC 的 核心 思想 就 是 将 访问 权限 与 角色 相 联 系 , 通 过 给 用 户 分 配合 适 的 角色 ,让 用 
户 与 访问 权限 相关 联 。 角 色 是 根据 企业 内 为 完成 各 种 不 同 的 任务 需要 而 设置 的 ,根据 用 
户 在 企业 中 的 职权 和 责任 来 设 定 他 们 的 角色 。 用 户 可 以 在 角色 间 进 行 转换 ,系统 可 以 添 
加 、 删 除 角色 ,还 可 以 对 角色 的 权限 进行 添加 、 删 除 。 通 过 应 用 RBAC ,可 以 将 安全 性 放 在 
一 个 接近 组 织 结构 的 自然 层面 上 进行 管理 。 因 此 ,在 RBAC 中 ,可 以 根据 组 织 结构 中 不 
同 的 职能 岗位 划分 角色 ,资源 访问 权限 被 封装 在 角色 中 ,用 户 通 过 赋予 的 角色 间接 地 访问 
系统 资源 ,并 对 系统 资源 可 进行 许可 范围 内 的 操作 。 

如 图 8. 10 所 示 ,RBAC 包含 3 个 实体 : 用 户 (user) 角色 (role) 和 权限 (privilege) 。 

用 户 是 对 数据 对 象 进行 操作 的 主体 ,可 以 是 人 或 计算 机 等 。 权 限 表示 对 系统 中 客体 
进行 特定 模式 访问 的 操作 许可 , 即 对 某 一 数据 对 象 的 可 操作 权利 。 对 数据 库 系 统 而 言 , 数 
据 对 象 可 以 是 表 、 视 图 .字段 .记录 ,相应 的 操作 有 读 、 插 入 、 删 除 和 修改 等 。 一 项 许可 就 是 
可 以 对 某 一 个 数据 对 象 进行 某 一 种 特定 操作 的 权利 。 

在 RBAC 中 ,角色 对 应 于 组 织 中 某 一 特定 的 职能 岗位 ,具有 处 理 某 些 事物 的 许可 。 
这 与 实际 生活 中 的 角色 很 相似 ,以 学 校 为 例 ,角色 可 以 是 院 长 .部 长 . 科 长 .教员 、 学 员 等 。 
不 过 在 RBAC 中 的 角色 与 实际 的 角色 概念 有 所 不 同 。 在 一 个 RBAC 模型 中 ,一 个 用 户 可 
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图 8.10 用 户 、 角 色 和 许可 的 关系 图 


以 被 赋予 多 个 角色 ,一 个 角色 也 可 以 对 应 多 个 用 户 ,这些 角 色 是 根据 系统 的 具体 实现 来 定 
义 的 ;同样 的 一 个 角色 可 以 拥有 多 个 权限 ,一 个 权限 也 可 以 被 多 个 用 户 所 拥有 。 这 样 在 授 
权 管 理 中 ,角色 作为 中 间 桥 梁 把 用 户 和 权限 联系 起 来 ,一 个 角色 与 若干 个 权限 关联 可 以 看 
作 是 该 角色 拥有 的 一 组 权限 集合 ,与 用 户 关联 也 可 以 看 作 是 若干 具有 相同 身份 的 用 户 
集合 。 

会 话 是 一 个 动态 的 概念 ,一 次 会 话 是 用 户 的 一 个 活跃 进程 ,代表 用 户 与 系统 进行 的 一 
次 交互 。 用 户 与 会 话 是 一 对 多 关系 ,一 个 用 户 可 同时 打开 多 个 会 话 。RBAC 中 ,在 用 户 和 
访问 权限 之 间 引 入 角色 的 概念 。 用 户 与 特定 的 一 个 或 多 个 角色 相 联 系 ,角色 与 一 个 或 多 
个 权限 相 联 系 ,角色 可 以 根据 实际 的 工作 需要 生成 或 取消 ,而 且 登 录 到 系统 中 的 用 户 可 根 
据 自 己 的 需要 动态 激活 自己 拥有 的 角色 ,避免 了 用 户 无 意 中 危 害 系统 安全 。 除 此 之 外 , 角 
色 之 间 、 权 限 之 间 、 角 色 和 权限 之 间 定 义 了 一 些 关 系 , 如 角色 间 的 层次 性 关系 ,而 且 也 可 以 
按 需 要 定义 各 种 约束 (contraints) ,如 定义 出 纳 和 会 计 这 两 个 角色 为 互 斥 角色 ( 即 这 两 个 
不 能 分 配给 一 个 用 户 )。 

从 图 8.10 中 ,我 们 不 难 理解 角色 之 间 有 许可 重 谷 ,如 果 将 重合 部 分 设置 为 一 个 角色 
R, 其 他 角色 既 包含 该 角色 R 也 包含 自己 的 私有 部 分 ,这 样 就 产生 了 角色 层次 。 例 如 ,部 
长 的 权限 包括 了 他 所 主管 的 各 科 长 的 权限 , 科 长 的 权限 又 包括 了 其 属 下 各 科 员 的 权限 。 

约束 是 施加 于 单个 角色 之 上 或 多 个 角色 之 间 的 ,用 来 表达 权限 的 执行 是 有 条 件 的 。 
最 常见 的 约束 有 可 被 赋予 某 特定 角色 的 用 户 数目 的 约束 , 即 基数 约束 ;或 者 是 用 户 分 配 阶 
段 有 些 权限 不 能 同时 被 同一 个 用 户 获得 的 静态 责任 互 斥 。 

用 户 所 执行 的 操作 与 其 所 扮演 的 角色 的 职能 相 匹 配 , 这 正 是 RBAC 的 根本 特征 。 
即 : 依据 RBAC 策略 ,系统 定义 了 各 种 角色 ,每 种 角色 可 以 完成 一 定 的 职能 。 不 同 的 用 户 
根据 其 职能 和 责任 被 赋予 相应 的 角色 ,一 旦 某 个 用 户 成 为 某 角 色 的 成 员 , 则 此 用 户 可 以 完 
成 该 角色 所 具有 的 职能 。 
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角色 由 系统 管理 员 定义 ,角色 成 员 的 增 减 也 只 能 由 系统 管理 员 来 执行 , 即 只 有 系统 管 
理 员 有 权 定 义 和 分 配角 色 。 用 户 与 客体 之 间 无 直接 联系 ,他 只 有 通过 角色 才能 享有 该 角 
色 所 对 应 的 权限 ,从 而 访问 相应 的 客体 ,因此 用 户 不 能 自主 地 将 访问 权限 授 给 别 的 用 户 ， 
这 是 RBAC 与 DAC 的 根本 区 别 所 在 。RBAC 与 MAC 的 区 别 在 于 : MAC 是 基于 多 级 安 
全 需求 的 ,而 RBAC 不 是 。 因 为 军用 系统 中 主要 关心 的 是 防止 信息 从 高 安全 级 流向 低 安 
全 级 ,重点 考虑 的 是 信息 的 机 密 性 ,而 基于 角色 控制 的 系统 中 主要 关心 的 是 保护 信息 的 完 
整 性 。 

综 上 所 述 ,RBAC 具有 以 下 特点 。 


1. 以 角色 作为 访问 控制 的 主体 


用 户 以 什么 样 的 角色 对 资源 进行 访问 ,决定 了 用 户 拥有 的 权限 以 及 可 执行 何 种 操作 。 
RBAC 的 基本 思想 是 : 授权 给 用 户 的 访问 权限 通常 由 用 户 在 一 个 组 织 中 担当 的 角色 来 确 
定 。 传 统 的 访问 控制 是 将 主体 和 受 控 客 体 直 接 相 联系 ,而 RBAC 在 主体 与 客体 之 间 加 入 
了 角色 ,通过 角色 沟通 主体 与 客体 。 这 样 分 层 的 优点 是 当主 体 发 生变 化 时 ,只 需 修改 主体 
与 角色 之 间 的 关联 ,而 不 必修 改 角色 与 客体 的 关联 。 


2. 角色 继承 


RBAC 中 利用 角色 之 间 的 层次 关系 提高 授权 效率 ,避免 相同 权限 的 重复 设置 。 
RBAC 采 用 了 “角色 继承 ”的 概念 ,角色 继承 是 指 角 色 不 仅 具 有 直接 为 其 分 配 的 权限 ,还 可 
以 继承 其 他 角色 的 权限 。 角 色 继 承 把 角色 组 织 起 来 ,能 够 很 自然 地 反映 组 织 内 部 人 员 之 
间 的 职权 、 责 任 关 系 。 

角色 继承 可 以 用 祖先 关系 来 表示 。 如 
图 8.11 所 示 , 角 色 2 是 角色 1 的 “父亲 ”, 它 包 
含 角色 1 的 属性 与 权限 。 在 角色 继承 关系 图 
中 ,处 于 最 上 面 的 角色 拥有 最 大 的 访问 权限 , 越 
下 端的 角色 拥有 的 权限 越 小 。 


3. 最 小 特权 原则 


包含 


所 谓 最 小 特权 原则 (least privilege policy) 
是 指 : 用 户 所 拥有 的 权力 不 能 超过 他 执行 工作 
时 所 需 的 权限 。 实 现 最 小 特权 原则 , 需 分 清 用 

图 8.11 角色 的 继承 关系 示意 图 户 的 工作 内 容 . 确 定 执行 该 项 工作 的 最 小 权限 ， 

然后 将 用 户 限 制 在 这 些 权 限 范围 之 内 。 在 

RBAC 中 ,可 以 根据 组 织 内 的 规章 制度 .职员 的 分 工 等 设计 拥有 不 同 权 限 的 角色 ,只 有 角 

色 需 要 执行 的 操作 才 授权 给 角色 。 当 一 个 主体 准备 访问 资源 时 ,如 果 该 操作 不 在 主体 当 
前 活跃 角色 的 授权 操作 之 内 ,该 访问 将 被 拒绝 ,由 此 体现 了 最 小 特权 原则 。 
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身份 认证 和 访问 控制 


习题 


. 什么 是 身份 认证 , 它 在 安全 系统 中 的 地 位 和 作用 是 什么 ? 
. 一般 来 说 ,单机 状态 下 有 哪 几 种 形式 可 以 用 于 验证 用 户 身份 ? 
. 单机 状态 下 ,使 用 静态 口令 (口令 明文 和 口令 散 列 ) 的 认证 有 哪些 安全 问题 ? 
.什么 是 字典 式 攻击 ?请 给 出 防范 字典 式 攻击 的 方法 。 
.为 什么 一 般 来 说 基于 智能 卡 的 认证 方式 比 基 于 口令 的 认证 方式 要 安全 ? 利用 智 
能 卡 进行 的 双 因素 的 认证 方式 的 原理 是 什么 ? 

6. 利用 收集 的 资料 简 述 基于 生物 特征 认证 的 发 展 趋势 。 

7. 为 什么 在 网 络 环境 下 不 能 使 用 静态 口令 进行 用 户 的 身份 认证 ?在 身份 认证 中 ,所 
谓 的 重 放 攻 击 是 如 何 实 现 的 ? 

8. 为 什么 相对 于 静态 口令 ,一 次 性 口令 能 够 更 好 地 实现 网 络 身 份 认证 ? 

9. 什么 是 基于 时 间 同 步 、 基 于 事件 同步 基于 挑战 /应 答 式 的 非 同步 的 认证 技术 ? 

10. 介绍 你 所 了 解 的 电子 商务 网 站 或 网 上 银行 所 使 用 的 动态 口令 应 用 的 方案 。 

11. S/KEY 是 如 何 实现 一 次 性 口令 技术 的 ? 为 什么 改进 的 S/KEY 能 够 防止 重 放 
攻击 ? 

12. 结合 S/KEY 协议 说 明基 于 挑战 /应 答 的 认证 机 制 的 原理 和 过 程 。 

13. S/KEY 协议 的 安全 性 依赖 于 单 向 散 列 函数 的 安全 性 ,请 用 公开 加 密 算法 代替 单 
向 散 列 函数 改写 S/KEY 协议 。 

14. 试 实现 如 下 一 个 方案 : 客户 端 在 登录 到 服务 器 之 前 ,服务 器 如 何 使 用 RSA 的 公 
钥 和 私 钥 对 客户 端的 身份 进行 认证 (提示 : 可 以 使 用 随机 数 和 散 列 值 ) 。 

15. 从 Kerberos 协议 的 基本 思想 角度 曾 述 它 是 如 何 体现 SSO 思想 的 。 

16. 一 个 简单 的 Kerberos 认证 会 话 使 用 时 有 哪些 主要 问题 ? 引入 TGS 后 是 如 何 解 
决 这 两 个 问题 的 ? 

17. 满足 哪 两 项 要 求 才 能 称 为 一 个 Kerberos 域 ? 什么 情况 下 需要 使 用 Kerberos 域 
跨 域 认 证 ?实现 跨 域 认证 还 需要 满足 什么 要 求 ? 

18. 访问 控制 的 实现 技术 有 哪 几 种 ?各 自 有 何 特 点 ? 

19. 基于 角色 的 访问 控制 的 核心 思想 是 什么 ? 

20. 基于 角色 的 访问 控制 的 特点 有 哪些 ? 


am mo 
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第 9 章 PKI 技术 


9.1 理论 基础 


Internet 应 用 面临 的 最 大 问题 是 如 何 建 立 相互 之 间 的 信任 关系 以 及 如 何 保证 信息 的 
认证 性 完整 性 机密 性 和 不 可 否认 性 ,为 所 有 网 络 应 用 (如 网 络 浏览 .电子 邮件 .电子 商 
务 ) 提 供 可 靠 透明 的 安全 服务 ,PKI 则 是 解决 这 一 系列 问题 的 技术 基础 。PKI 是 Public 
Key Infrastructure 的 缩写 , 意 为 公 钥 基 础 设施 。 简 单 地 说 ,PKI 技术 就 是 基于 数字 证 书 
基础 之 上 ,利用 公 钥 理论 和 技术 建立 的 ,为 Internet 中 信息 提供 安全 服务 的 统一 的 技术 
框架 。 

安全 服务 的 提供 应 该 对 用 户 透明 ,隐藏 在 其 他 应 用 的 后 面 ,用 户 不 需要 ,也 无 法 直观 
地 感觉 到 它 是 否 有 效 或 起 作用 。 虽 然 如 此 ,如 果 理 解 了 PKI 为 什么 能 够 解决 网 络 的 安全 
问题 , 它 的 基本 理论 基础 是 什么 ,就 会 更 有 利于 推动 PKI 的 应 用 和 发 展 。 


9.1.1 CA 认证 与 数字 证 书 


公 钥 基础 设施 的 基础 是 公 钥 加 密 体制 ,公开 加 密 算法 可 以 提供 网 络 信息 安全 的 全 面 
解决 方案 ,如 加 密 、 数 字 签 名 和 密 钥 交 换 ,对 称 加 密 算法 则 不 能 很 好 地 实现 后 两 项 功能 。 
公 钥 加 密 体 制 中 最 大 漏洞 不 是 用 户 公 钥 被 泄露 (不 能 保证 机 密 性 ) ,而 是 公 钥 可 能 被 算 改 
(不 能 保证 完整 性 ) ,而 公 钥 一 旦 被 算 改 , 公 钥 加 密 体制 的 基础 就 不 存在 了 。 所 以 必须 保证 
用 户 公 钥 的 真实 性 , 即 确认 某 个 人 真正 的 公 钥 ,这 就 需要 有 一 定 的 认证 机 制 ,以 避免 让 任 
何人 有 自 改 用 户 公 钥 的 中 间 人 攻击 机 会 。 

在 认证 体制 中 ,通常 需要 有 一 个 可 信和 的 第 三 方 ,用 于 仲裁 .颁发 数字 证 书 和 管理 某 些 
机 密 信 息 。 在 PKI 中 ,为 了 确保 用 户 及 他 所 持 有 公 钥 的 真实 性 ,公开 加 密 系统 需要 一 个 
值得 信赖 而 且 独 立 的 第 三 方 机 构 充 当 认证 中 心 CA, 来 确认 声称 拥有 某 个 公开 密 钥 的 人 
的 真正 身份 。 

要 确认 用 户 的 公开 密 钥 ,CA 首先 制作 一 张 “数字 证 书 ”。 数字 证 书 是 驾驶 执照 \ 护 
照 和 会 员 卡 的 电子 对 应 物 。 你 可 以 通过 出 示 数 字 证 书 来 证 明 你 的 身份 或 访问 在 线 信 
息 或 使 用 服务 的 权利 。 数 字 证 书 将 身份 绑 定 到 一 对 可 用 来 加 密 和 签名 数字 信息 的 电 
子 密 钥 。 数 字 证 书 能 够 验证 使 用 给 定 密 钥 的 权利 ,这 有 助 于 防止 有 人 利用 假 密 钥 冒 充 
其 他 用 户 。 数 字 证 书 与 加 密 一 起 使 用 ,可 以 提供 一 个 更 加 完善 的 解决 方案 ,确保 交易 
中 各 方 的 身份 。 

任何 想 发 放 自己 公 钥 的 用 户 , 可 以 去 CA 处 申请 自己 的 数字 证 书 。CA 中 心 在 核实 
该 用 户 的 真实 身份 后 ,颁发 包含 用 户 公 钥 的 数字 证 书 , 它 还 包含 用 户 的 真实 身份 用户 公 
钥 的 有 效 期 和 作用 范围 (用 于 交换 密 钥 还 是 数字 签名 ) ,然后 CA 使 用 自己 的 私 钥 为 数字 


证 书 加 上 数字 签名 来 绑 定 用 户 的 身份 和 公 钥 。 可 以 作 一 个 简单 的 对 比 , 如 果 数 字 证 书 相 
当 于 是 日 常生 活 中 的 身份 证 , 那 CA 就 是 相当 于 颁发 身份 证 的 公安 部 门 ,CA 的 私 钥 签 名 
相当 于 身份 证 里 面 的 各 种 防伪 技术 ,可 以 用 来 鉴别 身份 证 的 真实 性 。 数 字 证 书 里 面 的 用 
户 身份 .用 户 公 钥 等 信息 相当 于 身份 证 里 面 的 个 人 信息 ,如 姓名 、 出 生日 期 .身份 证 号 码 
等 。 由 于 用 户 可 以 通过 身份 证 里 面 的 防伪 信息 确信 身份 证 是 真 的 ,相信 这 个 身份 证 里 面 
的 用 户 信息 ,这 种 关系 如 同 数字 证 书 与 CA 的 关系 。 

数字 证 书 采用 公开 密 钥 体制 , 即 利 用 一 对 互相 匹配 的 密 钥 进行 加 密 、 解 密 。 每 个 用 户 
自己 设 定 特定 的 仅 为 本 人 所 知 的 私有 密 钥 , 用 它 进 行 解密 和 签名 ;同时 设 定 公共 密 钥 并 由 
本 人 公开 ,为 一 组 用 户 所 共享 ,用 于 加 密 和 验证 签名 。 当 发 送 一 份 保密 文件 时 ,发送 方 使 
用 接收 方 的 公开 密 钥 对 数据 加 密 ,接收 方 则 是 用 自己 的 和 有 密 钥 解密 ,这 样 信息 就 可 以 安 
全 无 误 地 到 达 目 的 地 了 。 

采用 数字 证 书 ,能 够 确认 以 下 两 点 : 

(1) 保证 信息 是 由 签名 者 自己 签名 发 送 的 ,签名 者 不 能 否认 或 难以 否认 。 

(2) 保证 信息 自 签发 后 到 收 到 为 止 未 曾 做 过 任何 修改 ,签发 的 信息 是 真实 信息 。 

其 他 用 户 只 要 得 到 该 用 户 的 数字 证 书 , 并 用 已 经 得 到 的 CA 的 真实 的 公 钥 验证 该 证 
书 是 真实 的 ,就 可 以 得 到 该 用 户 真实 的 公 钥 。 这 样 他 们 就 能 确信 : 使 用 该 用 户 的 公 钥 加 
密 的 消息 是 具有 机 密 性 的 ,使 用 该 用 户 的 私 钥 签 名 的 消息 都 是 不 可 伪造 的 。 

因为 CA 的 公 钥 是 众所周知 的 ,所 以 每 个 用 户 得 到 的 CA 公 钥 应 该 是 真实 的 ,这 样 用 
户 就 可 以 信任 CA 签发 的 其 他 用 户 公 钥 的 真实 性 。 所 以 ,通过 证 书 , 可 以 使 证 书 的 拥有 者 
向 系统 的 其 他 用 户 证 明 自 己 的 身份 及 他 与 公 钥 的 匹配 关系 。 由 CA 产生 的 用 户 证 书 有 以 
下 特点 : 

(1) 任何 有 CA 公开 密 钥 的 用 户 都 可 以 恢复 被 CA 认证 的 用 户 公 开 密 钥 。 

(2) 因为 用 户 证 书 的 完整 性 由 CA 的 数字 签名 来 保证 ,所 以 除了 认证 机 构 CA 外 , 没 
有 任何 一 方 能 不 被 察觉 地 算 改 该 证 书 。 

认证 中 心 CA 作为 权威 的 ,可 信赖 的 ,公正 的 第 三 方 机 构 , 专 门 负责 为 各 种 认证 需求 
提供 数字 证 书 服务 。 认 证 中 心 颁发 的 数字 证 书 均 遵循 X. 509 v3 标准 ,X. 509 标准 在 编排 
公开 密 钥 格式 方面 已 被 广 为 接 受 。X. 509 数字 证 书 已 应 用 于 许多 网 络 安全 协议 ,其 中 包 
括 IPSec、SSL、SET、S/MIME。 表 9. 1 给 出 了 X. 509 数字 证 书 各 部 分 的 含义 ,图 9. 1 给 
出 了 CA 创建 的 X. 509 数字 证 书 的 格式 。 


表 9.1 X.509 数字 证 书 各 部 分 的 含义 


域 含 本 
Version 证 书 版 本 号 ,不 同 版 本 的 证 书 格式 不 同 
Serial Number 序列 号 ,同一 认证 机 构 签发 的 证 书 序列 号 唯一 
Algorithm Identifier 签名 算法 ,包括 必要 的 参数 
Issuer 认证 机 构 的 标识 信息 
Period Validity 有 效 期 
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续 表 


域 含 义 


Subject 证 书 持 有 人 的 标识 信息 
Subject's Public Key 证 书 持 有 人 的 公 钥 
Signature 认证 机 构 对 证 书 的 签名 


版 本 1 4 
证 书 序列 号 


标识 和 
i 


发 行者 名 称 紧 ，| 妥 
起 多 时 间 1 | :2 
HM -| 


主体 名 称 


由 庆 河 


主体 的 公 
钥 信息 


所 有 版 本 


签名 信息 


图 9.1 X.509 数字 证 书 的 格式 


9.1.2 信任 关系 与 信任 模型 


在 基于 Internet 的 分 布 式 系统 的 安全 中 ,信任 和 信任 关系 扮演 了 重要 的 角色 。 用 户 
必须 完全 相信 作为 可 信 第 三 方 的 KDC 和 CA, 相 信 它 是 公正 和 正确 的 ,不 会 与 特殊 用 户 
勾结 ,也 不 会 犯错 误 。 有 时 ,一 个 被 用 户 信任 的 实体 可 以 向 用 户 推荐 他 所 信任 的 实体 ,而 
这 个 实体 又 可 以 推荐 其 他 的 实体 ,从 而 形成 一 条 信任 路 径 。 直 观 上 讲 , 路 径 上 的 节点 越 
远 , 越 不 值得 信任 。 因 此 ,有 必要 引入 信任 模型 。 

X. 509 规范 中 给 出 了 “信任 ”的 定义 : 当 实 体 A 假定 实体 B 严格 地 按 A 所 期 望 的 那 
样 行动 , 则 A 信任 B。 在 PKI 中 ,可 以 把 这 个 定义 具体 化 为 : 如 果 一 个 用 户 假定 CA 可 以 
将 任 一 公 钥 绑 定 到 某 个 实体 上 ( 即 准确 地 给 出 他 所 发 给 证 书 的 实体 的 身份 ), 则 他 信任 
该 CA。 

信任 模型 建立 的 目的 是 确保 一 个 认证 机 构 签 发 的 证 书 能 够 被 另 一 个 认证 机 构 的 用 户 
所 信任 。 目 前 有 四 种 常用 的 信任 模型 : 认证 机 构 的 严格 层次 结构 模型 .分 布 式 信任 结构 
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模型 Web 模型 和 以 用 户 为 中 心 的 信任 模型 .此 外 ,这 些 模型 中 的 大 部 分 还 涉及 交叉 
1. 认证 机 构 的 严格 层次 结构 模型 (Strict Hierarchy of Certification Authorities Model) 


认证 机 构 (CA) 的 严格 层次 结构 可 以 被 描绘 为 一 棵 倒置 的 树 , 树 根 代表 一 个 对 整个 
PKI 系统 的 所 有 实体 都 有 特别 意义 的 CA 一 一 通常 叫做 根 CA(Root CA) , 它 充 当 信任 的 


根 或 “信任 锚 (CTrust Anchor ”一 一 也 就 是 认证 的 起 根 CA 
点 或 终点 。 图 9. 2 给 出 了 这 个 严格 层次 结构 模型 。 零 层 或 多 
唯一 需要 与 层次 结构 中 的 所 有 实体 建立 信任 层 中 介 CA 
的 是 根 CA。 在 认证 机 构 的 严格 层次 结构 中 ,每 个 六 
非 CA 的 终端 实体 


实体 (包括 中 介 CA 和 终端 实体 ) 都 必须 拥有 根 CA 
的 公 钥 ,该 公 钥 的 安装 是 在 这 个 模型 中 为 随后 进行 ”图 9.2 CA 的 严格 层次 结构 模型 
的 所 有 通信 进行 数字 证 书 处 理 的 基础 ,因此 , 它 必 

须 通 过 一 种 安全 的 带 外 方式 来 完成 。 值 得 注意 的 是 ,在 一 个 多 层 的 严格 层次 结构 中 ,终端 
实体 直接 被 其 上 层 的 CA 认证 (也 就 是 颁发 证 书 ) ,但 是 它们 的 信任 锚 是 另 一 个 不 同 的 CA 
( 根 CA) 。 

2. 分 布 式 信任 结构 模型 (Distributed Trust Architecture Model) 

分 布 式 信任 结构 把 信任 分 散在 两 个 或 多 个 CA 上 。 也 就 是 说 ,A 把 CA1 作为 他 的 信 
任 锚 , 而 B 可 以 把 CA2 作为 他 的 信任 锚 。 因 为 这 些 CA 都 作为 信任 锚 , 因 此 相应 的 CA 
必须 是 整个 PKI 系统 的 一 个 子 集 所 构成 的 严格 层次 结构 的 根 CA。 图 9. 3 给 出 了 分 布 式 
信任 结构 模型 。 其 中 的 同位 体 根 CA(Peer Root CA) 的 互 连 过 程 通常 被 称 为 交叉 认证 


(Cross Certification) 。 


,7” “~、、、 预先 独立 存在 的 


We 、、、 CA 的 互联 
和 


2 we os, Tag 
” 2 同位 体 CA 
小 AN on 
、\。 非 CA 的 终 阐 实体 


图 9.3 分 布 式 信任 结构 模型 


3. Web 模型 (Web Model) 


Web 模型 依赖 于 流行 的 浏览 器 ,许多 CA( 如 Verisign) 的 公 钥 被 预 装 在 标准 的 浏览 
器 上 。 这 些 公 钥 确定 了 一 组 CA ,浏览 器 用 户 最 初 信任 这 些 CA 并 将 它们 作为 证 书 检验 的 
根 。 尽 管 这 组 根 密 钥 可 以 被 用 户 修改 ,然而 几乎 没有 普通 用 户 对 PKI 和 安全 问题 能 精通 
到 可 以 进行 这 种 修改 的 程度 。 实 际 上 ,浏览 器 厂商 起 到 了 信任 锚 的 作用 ,而 与 被 预 装 的 公 
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钥 对 应 的 CA 就 是 它 所 认证 的 CA, 当 然 这 种 认证 并 不 是 通过 颁发 证 书 实现 的 ,而 只 是 物 
理 上 把 CA 的 公 钥 嵌入 到 浏览 器 中 。 

例如 ,IE 中 预 装 有 类 似 Verisign 的 认证 机 构 的 公 钥 ,用 户 可 以 要 求 某 个 网 站 的 Web 
应 用 服务 器 提供 自己 的 数字 证 书 ( 即 类 似 Verisign 的 认证 机 构 的 私 钥 签 名 的 该 Web 服务 
器 的 身份 和 公 钥 的 绑 定 ) ,这 样 用 户 就 能 得 到 这 个 Web 服务 器 的 公 钥 ,从 而 对 Web 服务 
器 的 身份 进行 认证 。 从 根本 上 讲 , Web 模型 更 类 似 于 认证 机 构 的 严格 层次 结构 模型 ,这 
是 一 种 有 隐 含 根 的 严格 层次 结构 。 图 9. 4 给 出 了 Web 模型 。 


A 5A7 被 装 信 浏 览 器 
的 根 CA 
| NS 中 介 CA 
FE 种 终 六 
Alice Alice Alice 非 CA 的 终端 实体 
图 9.4 Web 模型 


Web 模型 在 方便 性 和 互 操作 性 方面 有 明显 的 优势 ,但 是 也 存在 许多 安全 隐患 。 例 
如 ,因为 浏览 器 的 用 户 自动 地 信任 预 安装 的 所 有 公 钥 ,所 以 即使 这 些 根 CA 中 有 一 个 是 
“ 坏 的 ”( 例 如 ,该 CA 从 没有 认真 核实 被 认证 的 服务 器 ), 公 钥 的 真实 性 也 得 不 到 保证 。 另 
外 一 个 潜在 的 安全 隐患 是 没有 实用 的 机 制 来 撤销 嵌入 到 浏览 器 中 的 根 CA 的 公 钥 。 如 果 
发 现 一 个 根 CA 的 公 钥 是 “ 坏 的 ?或 者 与 公 钥 相应 的 私 钥 被 泄密 了 ,要 使 全 世界 所 有 的 浏 
览 器 都 自动 地 废止 该 公 钥 的 使 用 是 不 可 能 的 。 

还 有 就 是 终端 用 户 与 嵌入 的 根 CA 之 间 交 互 十 分 有 限 , 他 很 难 知 道 某 个 浏览 器 中 嵌 
入 了 哪些 根 CA, 并 且 用 户 一 般 不 可 能 对 证 书 颁发 过 程 有 足够 了 解 。 最 后 由 于 根 CA 是 预 
先 安装 的 ,所 以 难于 扩展 ,难以 实现 交叉 认证 。 


4. 以 用 户 为 中 心 的 信任 模型 (User Centric Trust Model) 


每 个 用 户 自己 决定 信任 其 他 哪些 用 户 。 通 常 ,用户 的 最 初 信任 对 象 包括 用 户 的 朋友 、 
家 人 或 同事 ,但 是 否 真正 信任 某 证 书 则 被 许多 因素 所 左右 。 安 全 软件 PGP 最 能 说 明 以 用 
户 为 中 心 的 信任 模型 ,在 PGP 中 ,一 个 用 户 通 过 
担当 CA( 签 发 其 他 实体 的 公 钥 ) 并 发 布 其 他 实体 
的 公 钥 来 建立 (或 参加 ) 所 谓 的 信任 网 (Web of 
Trust)。 图 9.5 给 出 了 以 用 户 为 中 心 的 信任 
模型 。 

例如 , 当 Alice 收 到 一 个 据 称 属于 Bob 的 证 Alice 同 事 
书 时 ,她 将 发 现 这 个 证 书 是 由 她 不 认识 的 David ”图 9.5 以 用 户 为 中 心 的 信任 模型 
签发 的 ,但 是 David 的 证 书 是 由 她 认识 并 且 信 任 
的 Catherine 签发 的 。 在 这 种 情况 下 , Alice 可 以 决定 信任 Bob 的 公 钥 ( 即 信任 从 
Catherine 到 David 再 到 Bob 的 密 钥 链 ) ,也 可 以 决定 不 信任 Bob 的 公 钥 (认为 “未 知 的 ” 
Bob 与 “已 知 的 ”Catherine 之 间 的 “距离 太 远 ”)。 因 为 要 依赖 于 用 户 自身 的 行为 和 决策 能 


Alice 母 亲 Catherine 
ie (Alice 妹 妹 ) 


David 


Alice 朋 友 
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力 , 因 此 以 用 户 为 中 心 的 模型 在 技术 水 平 较 高 和 利害 关系 高 度 一 致 的 群体 中 是 可 行 的 ,但 
是 在 一 般 的 群体 中 是 不 现实 的 。 


5. 交叉 认证 (Cross Certification) 


在 全 球 范围 内 建立 一 个 容纳 所 有 用 户 的 单一 PKI 是 不 太 可 能 实现 的 。 现 实 可 行 的 
模型 是 : 建立 多 个 PKRI 域 ,进行 独立 的 运行 和 操作 ,为 不 同 环境 和 不 同 团体 的 用 户 团 体 服 
务 。 每 个 CA 只 可 能 覆盖 一 定 的 作用 范围 , 即 CA 的 域 , 当 隶属 于 不 同 CA 的 用 户 需 要 交 
换 信息 时 ,就 需要 引入 交叉 证 书 和 交叉 认证 ,这 也 是 PKI 必须 完成 的 工作 。 

交叉 认证 可 以 在 以 前 没有 关联 的 PKI 域 的 CA 之 间 建 立信 任 关 系 。 两 个 CA 安全 地 
交换 公 钥 信息 ,这 样 每 个 CA 都 可 以 有 效 地 CAI 目录 实体 CA2 目 录 实体 
验证 另 一 方 密 钥 的 真实 性 ,我 们 称 这 样 的 认 x 对 本 


证 过 程 为 交叉 认证 。 事 实 上 ,交叉 认证 是 ee 
证 过 程 为 交叉 认证 。 事 实 上 ,交叉 认证 是 通 

a 正 向 交叉 证 书 正 向 交叉 证 书 
过 信任 传递 机 制 来 完成 两 者 信任 关系 的 建 | 主人 -CA 主体 -CA2 
立 , 它 是 第 三 方 信任 的 扩展 , 即 一 个 CA 的 用 | 全 发 者 CA el 
户 信任 所 有 与 自己 CA 有 交叉 认证 的 其 他 | 届 则 交叉 让 人 
CA 的 用 户 。 图 9.6 给 出 了 在 CA1 和 CA2 | 颁发 者 -CAl 颁发 者 -CA2 
之 间 交 叉 认证 的 例子 。 图 9.6 在 CA1 和 CA2 之 间 交 叉 认证 的 例子 


交叉 认证 可 以 是 单 向 的 ,更 常见 的 是 双 
向 的 。 根 据 X. 509 中 的 术语 ,从 CA1 的 观点 来 看 ,为 它 颁发 的 证 书 (也 就 是 CA1 作为 主 
体 而 其 他 CA 作为 颁发 者 ) 叫 做 * 正 向 交叉 证 书 ”, 被 它 颁发 的 证 书 叫做 * 反 向 交叉 证 书 ”。 
如 果 一 个 X. 500 目录 被 用 作证 书 资料 库 , 那 么 正确 的 正 / 反 向 交叉 证 书 可 以 被 存储 在 相 
关 的 CA 目录 项 的 交叉 证 书 结构 中 。 

假设 Alice 已 经 被 CA1 认证 , 持 有 可 信 的 CA1 的 公 钥 ,并 且 Bob 已 经 被 CA2 认证 ， 
持 有 可 信 的 CA2 的 公 钥 。 在 CAl 和 CA2 交叉 认证 之 后 ,Alice 的 信任 能 够 扩展 到 CA2 
的 主体 群 ( 包 括 Bob) ,反之 亦 然 。 在 交叉 认证 之 前 ,两 个 CA 都 会 去 了 解 对 方 的 安全 策 
略 ,包括 在 CA 内 哪个 人 负责 高 层 的 安全 职责 。 同 时 还 可 能 要 两 个 CA 的 代表 签署 一 个 
具有 法 律 依据 的 协议 。 在 这 些 协 议 中 会 陈述 双方 需要 的 安全 策略 ,并 签字 保证 这 些 策略 
要 切实 实施 。 


9.2 PKI 的 组 成 
9.2.1 认证 机 构 


CA 是 数字 证 书 的 签发 机 构 , 它 是 PKI 的 核心 。 公 钥 加 密 体制 中 公 钥 需要 在 网 上 传 
送 , 故 密 钥 管理 主要 是 公 钥 的 管理 ,目前 较 好 的 解决 方案 是 引进 数字 证 书 (certificate) 机 
制 。 数 字 证 书 用 于 证 明 某 一 主体 (如 人 、 服 务 器 等 ) 的 身份 以 及 其 公开 密 钥 的 合法 性 。 在 
公 钥 加 密 体 制 中 ,必须 有 一 个 可 信 的 机 构 来 对 任何 一 个 主体 的 公 钥 进行 认证 ,证 明 主 体 的 
身份 以 及 他 与 公 钥 的 匹配 关系 。CA 正 是 这 样 的 机 构 , 它 的 职责 归纳 起 来 有 : 
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验证 并 标识 证 书 申请 者 的 身份 。 

确保 CA 用 于 签名 证 书 的 私 钥 的 质量 。 

确保 整个 签名 过 程 的 安全 性 ,确保 CA 签名 私 钥 的 安全 性 。 
证 书 材料 信息 (包括 公 钥 证 书 序列 号 .CA 标识 等 ) 的 管理 。 
确定 并 检查 证 书 的 有 效 期 限 。 

确保 证 书 主体 标识 的 唯一 性 ,防止 重 名 。 

发 布 并 维护 作废 证 书 列表 (CRL) 。 

对 整个 证 书签 发 过 程 做 日 志 记 录 。 

向 申请 人 发 通知 。 

CA 最 为 重要 的 职责 是 自己 生成 和 管理 一 对 密 钥 , 它 的 私 钥 必 须 是 高 度 机 密 的 ,以 防 
止 他 人 伪造 数字 证 书 ,CA 中 心 进行 密 钥 管理 时 必须 做 到 : 

(1) 选择 较 长 的 密 钥 对 : CA 根 节点 的 RSA 密 钥 长 度 至 少 应 该 达到 1024 位 ,最 好 能 
做 到 2048 位 。 

(2) 使 用 硬件 加 密 模块 : 密 钥 完全 由 加 密 模块 本 身 控制 ,避免 了 软件 加 密 时 需要 将 
密 钥 读 入 计算 机 内 存 而 被 陷阱 程序 窃取 的 危险 。 另 外 ,如 果 试 图 打开 硬件 加 密 模块 而 分 
析 获 知 密 钥 ,硬件 加 密 模 块 将 感应 这 一 情况 ,将 密 钥 销毁 。 

(3) 使 用 专用 硬件 产生 密 钥 对 : 专用 的 密 钥 产生 设备 ,其 内 部 装备 了 优质 的 随机 数 
产生 器 ,可 以 保证 密 钥 的 质量 (连续 产生 的 多 个 密 钥 对 不 应 该 产生 任何 相似 的 部 分 ) 。 

(4) 秘密 分 享 原则 : 只 有 在 两 个 或 以 上 管理 员 合 作 时 ,才能 完成 证 书签 发 和 备份 密 
钥 恢 复工 作 。 

CA 还 有 一 个 很 重要 的 职责 是 发 布 并 维护 作废 证 书 列表 CRL(Certificate Revocation 
List) ,可 以 通过 CRL 来 离线 确认 某 个 公开 密 钥 的 有 效 性 。CRL 是 一 种 包含 了 未 到 期 但 
已 撤销 的 证 书 列表 的 签名 数据 结构 , 它 含 有 带 时 间 戳 的 已 撤销 证 书 的 列表 。CRL 的 完整 
性 和 可 靠 性 由 它 本 身 的 数字 签名 来 保证 ,通常 CRL 的 签名 者 一 般 就 是 证 书 的 签发 者 。 当 
CRL 被 创建 并 且 签 名 以 后 ,就 可 以 通过 证 书库 和 网 络 自由 地 分 发 。CA 会 定期 发 布 
CRL, 从 几 个 小 时 到 几 个 星期 不 等 。 不 管 CRL 中 是 否 含有 新 的 被 撤销 证 书 的 消息 ,都 会 
发 布 一 个 新 的 CRL。PKI 的 证 书 策略 决定 了 它 的 CRL 时 间 间 隔 , 而 CRL 之 间 的 时 间 延 
迟 是 应 用 CRL 的 一 个 主要 的 缺陷 。 例 如 ,一 个 已 经 公布 的 撤销 可 能 要 在 下 一 次 CRL 发 
布 时 才能 被 其 他 用 户 接收 到 ,而 这 也 许 是 几 小 时 或 者 几 周 以 后 了 。 


9.2.2 证 书库 


证 书库 是 CA 所 签发 的 证 书 和 CRL 的 集中 存放 地 ,是 网 上 的 一 种 公共 信息 库 , 用 户 
可 以 从 此 处 获得 其 他 用 户 的 证 书 以 及 作废 证 书 列表 CRL。 系 统 必须 确保 证 书库 的 完整 
性 ,防止 伪造 , 纂 改 证 书 和 CRL。 证 书库 必须 稳定 可 靠 ,可 随时 更 新 扩充 ,用 户 能 方便 、 及 
时 ,快速 地 找到 安全 通信 所 需要 的 证 书 。 

构造 证 书库 的 最 佳 方法 是 采用 支持 LDAP 协议 的 目录 系统 ,用 户 或 相关 的 应 用 通过 
LDAP 来 访问 证 书库 。LDAP 作为 一 种 按 标 准 开发 的 协议 ,很 好 地 解决 了 人 们 使 用 其 他 
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应 用 程序 访问 证 书 及 CRL 的 问题 。LDAP 目录 服务 支持 分 布 式 存放 ,这 将 是 任何 一 
规模 的 PKI 系统 成 功 实施 的 关键 ,也 是 创建 一 个 有 效 CA 的 关键 技术 之 一 。 


9.2.3 PKI 应 用 接口 系统 


PKI 必须 提供 良好 的 应 用 接口 系统 , 它 介 于 PKI 和 应 用 程序 之 间 , 使 得 各 种 应 用 能 
够 以 安全 一致 ,可 信和 的 方式 与 PKI 交互 ,降低 成 本 。 普 通用 户 只 需要 知道 如 何 接 入 PKI 
就 能 获得 安全 服务 ,而 无 须 理解 PKI 如 何 实现 安全 服务 。 为 了 向 应 用 系统 屏蔽 密 钥 管 理 
的 细节 ,PKI 应 用 接口 系统 需要 实现 如 下 功能 : 

。 完成 证 书 的 验证 工作 ,为 所 有 应 用 以 一 致 . 可 信 的 方式 使 用 公 钥 证 书 提供 支持 。 

。 以 安全 、 一 致 的 方式 与 PKI 的 密 钥 备份 与 恢复 系统 交互 。 

在 所 有 应 用 系统 中 ,确保 用 户 的 签名 私 钥 始 终 只 在 用 户 本 人 的 控制 之 下 。 
根据 安全 策略 自动 为 用 户 更 新 密 钥 ,实现 密 钥 更 新 的 自动 .透明 与 一 致 
为 方便 用 户 访问 加 密 的 历史 数据 ,向 应 用 提供 历史 密 钥 的 安全 管理 服务 。 
为 所 有 应 用 访问 统一 的 证 书库 提供 支持 。 

以 可 信 、 一 致 的 方式 与 证 书 作废 系统 交互 。 

完成 交叉 证 书 的 验证 工作 ,为 所 有 应 用 提供 统一 模式 的 交叉 验证 支持 。 

支持 多 种 密 钥 存放 介质 ,包括 IC 卡 、PC 卡 、 安 全 文件 等 。 

PKI 应 用 接口 系统 应 该 是 跨 平 台 的 。 


9.3 PKI 的 功能 和 要 求 


图 9.7 是 PKI 认 证 体系 的 基本 模型 ,一般 来 说 ,PKI 是 创建 管理, 存储、 分 发 和 作废 
证 书 的 一 系列 软件 、 硬 件 、 人 员 策略 和 过 程 的 集合 , 它 主要 完成 以 下 儿 项 功能 : 


目录 服务 器 (LDAP) 

RR Fr 
| | 发 布 证 书 | 
| 和 CRL 发 布 证 书 | 
| 
| 登记 注册 信息 | 
| 和 发 布 证 书 注册 | | | 

| 发 1 
上 | 
| ! | | 
1 CA 上 4 1 
全 获取 证 书 、CRL 、 登记 、 1 | 
| 交 本 击 字 导 上 各 入 | | 
1 叉 ， | | 
1 3 存放 证 书 一 一" | 
| 认 ~ 证 书库 Du | 
| ae | 
1[ cA | | 
1 PKI 管 理 实体 1 


图 9.7 PKI 认 证 体系 的 基本 模型 
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(1) 为 需要 的 用 户 生成 一 对 密 钥 ( 公 钥 和 私 钥 ) ,并 通过 一 定 的 途径 分 发 给 用 户 。 

(2) 认证 机 构 CA 为 用 户 签发 数字 证 书 ,其 中 CA 用 自己 的 私 钥 对 用 户 身份 及 其 真正 
公 钥 进行 了 绑 定 ,并 通过 一 定 的 途径 将 数字 证 书 分 发 给 需要 的 用 户 。 

(3) 用 户 对 数字 证 书 的 有 效 性 进行 验证 。 

(4) 对 用 户 的 数字 证 书 进行 管理 ,如 发 布 有 效 证 书 、 发 布 已 撤销 的 证 书 、 证 书 归档 等 。 


9.3.1 密 钥 和 证 书 管理 


1. 初始 化 阶段 


(1) 终端 实体 注册 

终端 实体 注册 是 单个 用 户 或 进程 的 身份 被 建立 和 验证 的 过 程 。 注 册 过 程 能 够 通过 不 
同 的 方法 来 实现 ,图 9. 8 所 示 为 一 个 可 能 的 、 包 括 RA 和 CA 的 实体 初始 化 方案 (注意 , 根 
本 不 使 用 RA 的 其 他 方案 可 能 也 是 可 行 的 ) 。 终 端 实体 注册 是 在 线 执行 的 ,是 用 注册 表格 
的 交换 来 实现 的 。 注 册 过 程 一 般 要 求 包括 将 一 个 或 更 多 的 共享 秘密 赋 给 终端 实体 ,以 便 
后 来 在 初始 化 过 程 中 由 CA 确认 那个 实体 。 


1. 注册 表格 申请 il 
2. 注册 表格 应 答 4. 注 册 建 立 请 求 
并 表格 加 机 
3. 注册: 是 交 | 
| 3. 注 册 表 格 提交 。 | 注册 建立 结果 
6. 注册 结果 
| | 7. 注册 请 求 | 


8. 注册 响应 
图 9.8 终端 实体 初始 化 方案 


注册 中 心 RA 是 数字 证 书 注 册 审 批 机 构 , 它 是 CA 的 延伸 部 分 ,与 CA 逻辑 上 是 一 个 
整体 ,执行 不 同 的 功能 。RA 可 以 单独 实现 ,也 可 以 合并 在 CA 中 实现 。RA 与 具体 应 用 
的 业务 流程 相 联系 ,是 最 终 用 户 和 CA 系统 交流 的 纽带 。RA 按照 特定 的 政策 和 管理 规 
范 对 用 户 的 资格 进行 审查 ,并 执行 是 否 同意 给 该 申请 者 发 放 证 书 、 撤 销 证 书 等 操作 ,并 承 
担 因 审核 错误 而 引起 的 一 切 后 果 。 

如 果 审 查 通过 , 即 可 实时 或 批量 地 向 CA 提出 申请 ,要 求 为 用 户 签发 数字 证 书 。 任 何 
环境 下 RA 都 不 真正 地 签发 证 书 , 只 有 CA 有 权 颁 发 证 书 和 发 送 证 书 撤销 信息 。 

(2) 密 钥 对 产生 

密 钥 对 可 以 在 终端 实体 注册 过 程 之 前 或 终端 实体 注册 过 程 中 直接 产生 。 密 钥 的 产生 
主要 利用 噪声 源 技术 。 噪 声 源 的 功能 是 产生 二 进 制 随机 序列 或 与 之 对 应 的 随机 数 , 它 是 
密 钥 产生 设备 的 核心 部 件 。 噪 声 源 的 另 一 个 主要 用 途 是 在 物理 层 加 密 的 环境 下 进行 信息 
填充 ,使 网 络 具有 防止 流量 分 析 的 目的 。 物 理 噪 声 源 基本 上 有 三 类 : 基于 力学 噪声 源 的 
密 钥 产生 技术 、 基 于 电子 学 噪声 源 的 密 钥 产生 技术 和 基于 混沌 理论 的 密 钥 产生 技术 。 
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终端 实体 (用 户 ) 的 密 钥 对 有 两 种 可 能 的 产生 方式 : 

@ 用 户 自己 生成 密 钥 对 ,然后 将 公 钥 以 安全 的 方式 (如 物理 方式 ) 传 送 给 CA ,该 方法 
的 优点 是 ,即使 是 CA 也 不 知道 用 户 的 私 钥 ,尤其 是 用 户 的 签名 私 钥 只 能 用 户 自 己 知道 ， 
所 以 安全 性 高 ;缺点 是 ,由 于 条 件 的 限制 ,用 户 产生 的 密 钥 对 的 安全 强度 可 能 不 是 非常 高 。 
这 种 方式 一 般 用 于 用 浏览 器 产生 普通 用 户 的 证 书 和 测试 证 书 的 情况 下 ,不适 于 比较 重要 
的 安全 网 络 交易 。 

@ 由 RA 或 CA 产生 密 钥 资料 。CA 蔡 用 户 生成 密 钥 对 ,然后 以 安全 的 方式 将 用 户 
私 钥 传递 给 用 户 。 这 种 方式 的 优 缺 点 和 上 一 种 正好 相反 ,此 时 CA 必须 具有 高 度 的 可 信 
性 , 且 必须 在 事后 有 效 地 销毁 自己 保存 的 用 户 私 钥 。 这 种 方式 一 般 用 于 产生 比较 重要 的 
证 书 ,如 商家 证 书 和 服务 器 证 书 等 , 适 于 重要 的 应 用 场合 。 

在 实际 使 用 中 ,每 个 终端 实体 会 拥有 两 个 密 钥 对 ,可 以 被 用 来 支持 截然 不 同 的 服务 。 
例如 ,一 个 密 钥 对 可 以 被 用 作 支 持 不 可 否认 性 服务 而 另 一 个 密 钥 对 可 以 被 用 作 支 持 机 密 
性 服务 ,这 就 是 所 谓 的 “ 双 密 钥 对 模型 : 签名 私 钥 /验证 公 钥 对 和 加 密 公 钥 / 解 密 私 钥 对 。 
在 许多 PKI 系统 中 ,由 CA 为 用 户 产 生 加密 公 钥 / 解 密 私 钥 对 ,而 签名 私 钥 /验证 公 钥 对 
由 用 户 自 己 产 生 ,签名 私 钥 不 存在 存档 问题 ,因此 无 须 传送 给 CA。 值 得 注意 的 是 ,两 对 
密 钥 在 管理 上 是 互相 冲突 的 , 双 密 钥 对 模型 中 密 钥 管 理 上 的 区 别 见 表 9. 2。 

表 9.2 双 密 钥 对 模型 中 密 钥 管理 的 区 别 


两 个 密 钥 对 本 人 使 用 的 私 铀 的 管理 他 人 使 用 的 公 钥 的 管理 
+ a el 签名 私 钥 不 能 备份 和 存档 led 
由 二 公仆/ 者 可 和 作 省 (和 人 加 密 公 钥 不 需 备份 和 存档 
(3) 证 书 创建 


无 论 密 钥 对 在 哪里 产生 ,创建 数字 证 书 的 职责 都 将 单独 地 落 在 被 授权 的 CA 上 。 如 
果 公 钥 是 终端 实体 而 不 是 CA 所 产生 的 ,那么 该 公 钥 必须 被 安全 地 传送 到 CA ,以 便 其 能 
够 被 放 入 数字 证 书 。 一 旦 密 钥 资料 和 相关 的 数字 证 书 已 经 被 产生 ,它们 必须 被 适当 分 发 。 
所 有 要 与 该 用 户 进 行 安全 通信 的 其 他 用 户 都 会 向 CA 请 求 获 得 该 用 户 的 证 书 。 

(4) 证 书 分 发 

有 一 种 或 多 种 将 一 个 实体 的 公 钥 证书 分 发 给 该 用 户 和 另 一 个 实体 的 方法 : 

=” 此 外 分 发 。 

。 在 一 个 公共 的 资料 库 或 数据 库 中 公布 ,以 使 查询 和 在 线 检索 简便 。 

。 带 内 协议 分 发 ,例如 ,包括 带 有 安全 E-mail 报 文 的 适用 的 验证 证 书 。 

目前 使 用 的 最 成 熟 的 证 书 分 发 方法 是 证 书 的 使 用 者 查询 网 上 的 证 书库 ,以 得 到 某 个 
用 户 的 证 书 。 注 意 ,与 该 用 户 进行 通信 的 对 方 必须 容易 获得 该 用 户 的 用 于 机 密 性 目的 的 
证 书 和 用 于 数字 签名 目的 的 证 书 。 

(5) 密 钥 备份 和 托管 

一 定 比 例 的 解密 私 钥 会 因为 许多 原因 (如 忘记 用 于 保护 解密 私 钥 的 口令 、 磁 盘 被 破 
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坏 、 失 常 的 智能 卡 或 雇员 被 解雇 ) 使 这 些 密 钥 的 所 有 者 无 法 访问 ,这 就 需要 事先 进行 密 钥 
备份 。 密 钥 备 份 发 生 在 用 户 申 请 证 书 阶段 ,如 果 注 册 时 声明 公 钥 / 私 钥 对 是 用 于 数据 加 
密 / 解 密 ,那么 CA 即 可 对 该 用 户 的 解密 私 钥 进行 备份 。 

密 钥 托 管 是 指 用 户 把 自己 的 解密 私 钥 交 由 第 三 方 保管 ,允许 他 监听 某 些 通信 和 解密 
有 关 密 文 , 这 样 做 的 问题 是 哪些 密 钥 应 委托 保管 以 及 谁 是 可 以 信任 的 第 三 方 。 如 果 由 政 
府 担 任 可 信任 第 三 方 ,这 种 被 托管 的 密 钥 就 叫做 GAK(Government Access Key, 政 府 访 
问 密 钥 ) 。 换 句 话说 , 除 通 常 解密 方法 之 外 ,GAK 为 政府 提供 访问 加 密 数 据 的 其 他 方法 。 

(6) 密 钥 存 储 

如 果 是 CA 中 心 为 用 户 产生 密 钥 对 ,那么 密 钥 对 生成 后 ,CA 将 用 户 身份 信息 和 公 钥 
封装 签名 生成 数字 证 书 , 然 后 将 数字 证 书 及 其 相关 联 的 私 钥 通过 加 密封 装 在 一 起 ,形成 
PKCS#12 证 书 传递 给 用 户 。 这 使 得 用 户 可 以 通过 PKCS#12 证 书 得 到 自己 的 密 钥 对 和 
X. 509 证 书 。 许 多 应 用 都 使 用 PKCS# 12 标准 作为 用 户 私 钥 和 X. 509 证 书 的 封装 形式 。 


2. 颁布 阶段 

(1) 证 书 检索 

证 书 检索 与 访问 一 个 终端 实体 证 书 的 能 力 有 关 。 有 两 种 不 同 的 情况 需要 检索 一 个 终 
端 实体 证 书 ， 


中 将 数据 加 密 发 给 其 他 实体 的 需求 ( 即 保证 数据 的 机 密 性 ) 。 

@ 验证 从 另 一 个 实体 收 到 的 数字 签名 的 需求 ( 即 实现 对 数字 签名 的 验证 ) 。 

(2) 证 书 验证 

证 书 验证 与 评估 一 个 给 定 证 书 的 合法 性 和 证 书 颁发 者 的 可 信赖 性 有 关 。 证 书 验证 工 
作 主 要 对 证 书 进行 如 下 验证 : 

。 证书 的 完整 性 验证 。 

。 保证 证 书 是 由 一 个 可 信和 的 CA 颁发 的 (包括 证 书 路 径 验 证 )。 

。 证书 的 有 效 期 是 适当 的 。 

。 证 书 被 按照 任何 预期 的 策略 限制 (如 用 于 加 密 还 是 用 于 数字 签名 ) 来 使 用 。 

(3) 密 钥 恢复 

密 钥 恢复 是 指 当 一 个 密 钥 由 于 某 种 原因 被 破坏 了 ,并 且 没 有 被 泄露 出 去 时 ,从 它 的 一 
个 备份 重新 得 到 该 密 钥 的 过 程 。 密 钥 管理 生命 周期 包括 从 远程 备份 设施 (如 可 信 密 钥 恢 
复 中 心 或 CA) 中 恢复 解密 私 钥 的 能 力 。 解 密 私 钥 的 恢复 要 使 PKI 管理 员 和 终端 用 户 的 
负担 减 至 最 小 ,这 个 过 程 则 必须 尽 可 能 最 大 程度 自动 化 。CA 可 以 根据 用 户 的 密 钥 历史 
对 解密 私 钥 进行 恢复 。 

(4) 密 钥 更 新 

当 证 书 被 颁发 时 ,其 被 赋予 一 个 固定 的 生存 期 。 当 证 书 * 接 近 ? 过 期 时 ,或 者 私 钥 泄露 
时 ,必须 颁发 一 个 新 的 公 钥 私 钥 对 和 相关 证 书 , 这 称 为 密 钥 更 新 。 应 该 允许 一 个 合理 的 转 
变 时 间 让 使 用 方 获得 新 的 证 书 , 从 而 避免 与 过 期 证 书 所 有 有 关 的 服务 中 断 。 这 个 过 程 应 
该 是 到 时 间 自 动 进行 的 ,并 对 终端 用 户 完全 透明 ,而 无 须 用户 的 干预 。 
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3. 取消 阶段 


(1) 证 书 过 期 

证 书 在 颁布 时 被 赋予 一 个 固定 的 生存 期 ,在 其 被 建立 的 有 效 期 结束 后 ,证 书 将 会 过 
期 。 当 一 个 证 书 过 期 后 ,与 该 证 书 有 关 的 终端 实体 可 能 会 做 如 下 三 件 事 之 一 : 

。 没有 活动 : 终端 实体 不 再 参加 PKI。 

。 证 书 恢复 : 相同 的 公 钥 被 加 入 具有 新 有 效 期 的 新 证 书 ( 当 与 最 初 证 书 的 颁布 有 关 

的 环境 没有 变化 时 使 用 ,并 且 仍 然 认 为 密 钥 对 和 证 书 是 可 靠 的 )。 

。 证 书 更 新 : 一 个 新 的 公 钥 私 钥 对 被 产生 ,并 且 一 个 新 的 证 书 被 颁发 。 

(2) 证 书 撤销 

在 证 书 自然 过 期 之 前 对 给 定 证 书 的 即时 取消 (如 由 于 CA 签名 私 钥 的 泄露 、 用 户 的 身 
份 改变 .遗失 用 于 保护 签名 私 钥 的 口令 .用户 私 钥 可 能 被 盗 . 作 业 状 态 的 变化 或 者 雇佣 终 
止 等 引起 ) ,警告 其 他 用 户 不 要 再 使 用 这 个 公 钥 。 一 个 终端 用 户 个 人 可 以 亲自 初始 化 自己 
的 证 书 撤销 (例如 由 于 相应 私 钥 的 可 疑 被 盗 )。RA 可 以 代表 终端 用 户 初始 化 证 书 撤销 ， 
经 授权 的 管理 者 也 可 以 有 能 力 撤 销 终端 实体 的 证 书 , 并 将 已 撤销 的 证 书 放 入 作废 证 书 列 
表 CRL 中 ,或 者 使 用 在 线 证 书 状态 协议 OCSP 支持 用 户 对 证 书 是 否 被 撤销 进行 在 线 查 
询 。OCSP 比 CRL 处 理 快 得 多 ,并 避免 了 令 人 头疼 的 逻辑 问题 和 处 理 开销 。 一 个 证 书 撤 
销 的 实例 方案 如 图 9.9 所 示 。 


1 注册 撤销 请 求 
终端 ”| 
实体 一 
2. 注册 搬 销 响应 
1 注册 撤销 请 求 
带 外 请 求 


2. 注册 撤销 响应 
图 9.9 证 书 撤销 实例 方案 


(3) 密 钥 销毁 

没有 加 密 密 钥 能 无 限期 地 使 用 , 它 应 当 和 护照 .许可 证 一 样 能 够 自动 失效 ,否则 会 带 
来 无 法 意料 的 结果 : 

O@O 密 钥 使 用 时 间 越 长 , 它 泄露 的 机 会 就 越 大 ,因为 对 用 同一 密 钥 加 密 的 多 个 密 文 进 
行 密码 分 析 一 般 比 较 容 易 。 

@ 如 果 密 钥 已 泄露 ,那么 密 钥 使 用 越久 ,损失 就 越 大 。 

@ 密 钥 使 用 越久 ,破译 者 就 愿意 花费 更 多 的 精力 去 破译 它 , 甚 至 使 用 穷 举 攻击 
的 方法 。 

所 以 密 钥 必须 定期 更 换 ,更 换 密 钥 后 ,原来 的 密 钥 必须 销毁 。 当 密 钥 的 所 有 副本 都 被 
删除 ,重新 生成 该 密 钥 所 需 的 信息 也 被 全 部 删除 时 ,该 密 钥 的 生命 周期 就 终止 了 。 
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(4) 密 钥 历史 

由 于 保证 机 密 性 的 用 户 公 钥 最 后 总 要 过 期 ,因此 安全 可 靠 地 存储 用 作 解 密 的 用 户 私 
钥 是 必须 的 ,这 被 称 作 “ 密 钥 历 史 ”, 否 则 其 他 用 户 使 用 该 用 户 已 经 过 期 的 公 钥 发 送 过 来 的 
加 密 消息 ,该 用 户 则 无 法 恢复 出 明文 。 

(5) 密 钥 档案 

密 钥 档案 与 密 钥 历史 不 同 ,主要 用 于 审计 和 出 现 交易 争端 时 使 用 。 一 个 用 户 应 该 可 
靠 地 保存 已 经 过 期 的 用 于 验证 其 他 用 户 数字 签名 的 该 用 户 公 钥 ,以便 再 次 对 历史 文档 中 
的 他 人 的 数字 签名 进行 验证 ,防止 以 后 其 他 用 户 对 曾经 发 送 的 带 数字 签名 消息 的 否认 。 
最 好 由 PKI 自动 完成 密 钥 历史 和 密 钥 档案 的 管理 工作 。 


9.3.2 对 PKI 的 性 能 要 求 


1. 透明 性 和 易 用 性 


这 是 对 PKI 的 最 基本 要 求 ,PKI 必须 尽 可 能 地 向 上 层 应 用 屏 项 密码 服务 的 实现 细 
季 , 向 用 户 屏蔽 复杂 的 安全 解决 方案 ,使 安全 服务 对 用 户 而 言 简 单 易 用 。 


2. 可 扩展 性 
证 书库 和 CRL 必须 具有 良好 的 可 扩展 性 。 
3. 互 操作 性 


不 同 单位 的 PKI 实现 可 能 是 不 同 的 ,这 就 提出 了 互 操作 性 要 求 。 要 保证 PKI 的 互 操 
作 性 ,PKI 必须 建立 在 标准 之 上 ,包括 加 密 标 准 、 数 字 签 名 标准 Hash 标准 、 密 钥 管理 标 
准 \ 证 书 格式 .目录 标准 \ 文 件 信封 格式 、 安 全 会 话 格式 、 安 全 应 用 程序 接口 规范 等 。 


4. 支持 多 应 用 


PKI 应 该 面向 广泛 的 网 络 应 用 ,提供 文件 传送 安全 ,文件 存储 安全 、 电 子 邮件 安全 、 电 
子 表单 安全 、Web 应 用 安全 等 保护 。 


5. 支持 多 平台 
PKI 应 该 支持 目前 广泛 使 用 的 操作 系统 平台 ,如 Windows、Mactonish、 Linux、 
UNIX 等 。 


9.4 PKI 的 优 缺 点 


PKI 有 如 下 优点 : 
(1) PKI 能 提供 Kerberos 所 不 能 提供 的 服务 不 可 否认 性 。 
(2) 相对 Kerberos 来 说 ,PKI 从 开始 设计 就 是 一 个 容易 管理 和 使 用 的 体制 ,PKI 的 
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设计 就 是 为 了 让 单位 和 个 人 容易 使 用 数字 证 书 和 公开 密 钥 。 

(3) PKI 提供 了 密 钥 管理 的 所 有 功能 ,在 这 方面 它 远 远 超过 了 Kerberos 和 其 他 的 解 
决 方案 ,所 以 这 些 功能 都 让 用 户 很 容易 进行 密 钥 管理 。 

(4) PKI 还 有 一 个 优点 就 是 它 利 用 证 书库 进行 数字 证 书 和 公 钥 的 安全 发 布 ,CA 和 证 
书库 都 不 会 像 Kerberos 中 的 KDC 那样 可 能 形成 瓶颈 。 

PKI 也 有 如 下 缺点 : 

(1) PKI 还 是 一 个 正在 发 展 的 标准 ,而 且 它 的 实现 需要 一 套 完整 的 标准 。 

(2) 实现 PKI 的 代价 可 能 过 于 昂贵 ,如 果实 现 PKI 失败 ,最 主要 的 原因 可 能 是 代价 
高 昂 。 

(3) 在 PKI 中 ,每 个 人 都 必须 看 管 好 自己 的 数字 身份 证 一 一 用 户 私 钥 , 这 也 不 是 一 个 
简单 的 工作 。 

但 总 的 来 看 ,PKI 的 市 场 需求 非常 巨大 。 基 于 PKI 的 应 用 很 多 ,如 Web 通信 ,安全 
电子 邮件 、Internet 上 的 信用 卡 交换 和 虚拟 专用 网 等 ,因此 PKI 具有 非常 广阔 的 市 场 应 用 
前 景 。 目 前 在 我 国 ,在 电子 商务 .电子 政务 中 起 重要 作用 的 有 中 国 金融 CA(CFCA) ,中国 
电信 CA(CTCA)、 外 经 贸 CA 和 地 方 上 海 CA。 其 中 中 国 金融 CA 是 国家 级 CA, 由 中 国 
人 民 银 行 牵头 ,13 家 商业 银行 参加 联合 共 建 的 。 它 是 目前 具有 国际 先进 水 平 的 PKI 系 
统 , 能 为 电子 商务 、 网 上 银行 提供 一 整套 PKI 安全 服务 支持 ,已 为 网 上 银行 B2B 业务 发 放 
几 十 万 张 高 级 证 书 。 它 几经 改进 ,目前 已 具有 空前 的 稳定 性 和 安全 性 ,将 会 为 中 国 的 电子 
商务 起 到 越 来 越 大 作用 。 


习题 


1. 为 什么 说 在 PKI 中 采用 公 钥 技术 的 关键 是 如 何 确认 某 个 人 真正 的 公 钥 ? 如 何 
确认 ? 

2. 什么 是 数字 证 书 ? 如 何 申请 和 使 用 数字 证 书 ? 数字 证 书 遵循 什么 标准 ? 

3. 目前 有 哪 四 种 常用 的 信任 模型 ? 在 这 些 信 任 模 型 中 哪些 通过 建立 信任 树 进行 认 
证 ? 哪些 通过 建立 信任 网 进行 认证 ? 信任 树 和 信任 网 的 最 根本 区 别 是 什么 ? 

4. 简 述 信任 模型 中 的 Web 模型 的 特点 和 安全 问题 。 

5. PGP 中 采用 的 信任 机 制 与 PKI 中 采用 的 其 他 信任 机 制 本 质 上 有 何不 同 ? 

6. 两 个 不 同 CA 域 的 用 户 如 何 对 对 方 进行 相互 认证 ? 

7. 以 用 户 为 中 心 的 信任 模型 是 怎样 建立 信任 关系 的 ? 哪个 实用 系统 是 使 用 这 种 模 


8. 现 有 的 公开 密 钥 分 配方 案 中 ,我 们 常用 的 是 在 公开 密 钥 管理 机 构 方 式 下 ,用 CA 
颁发 数字 证 书 的 方案 。 为 什么 说 这 个 方案 中 CA 相对 KDC 来 说 不 容易 形成 瓶颈 ? 

9. 在 使 用 PKI 时 ,生成 用 户 的 公 / 私 钥 对 有 哪 两 种 具体 的 方式 ? 简 述 它们 的 主要 区 
别 和 优 缺 点 。 

10. 为 什么 在 实际 使 用 PKI 技术 时 ,每 个 用 户 需要 生成 两 个 公 钥 / 私 钥 对 ? 这 两 对 密 
钥 各 有 什么 功能 ? 举例 说 明 在 管理 这 些 密 钥 (如 其 中 的 两 个 私 钥 ) 时 有 什么 主要 区 别 ? 
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1. 构造 证 书库 的 最 佳 方法 是 什么 ?证 书库 主要 用 于 存放 什么 信息 ? 如 何 保证 证 书 
库 所 存放 信息 的 完整 性 ? 

2. 什么 是 CRL? 要 提高 使 用 CRL 的 有 效 性 要 注意 什么 问题 ? 

3. PKI 主要 能 完成 哪 几 项 功能 ? 

4. 结合 密 钥 和 证 书 的 生命 周期 来 简 述 PKI 系统 的 工作 流程 。 

5. 什么 是 RA? 它 与 CA 在 逻辑 上 有 什么 关系 ? 与 CA 在 功能 上 有 什么 联系 与 


区 别 ? 
6. 什么 情况 下 密 钥 需要 备份 ?什么 情况 下 密 钥 需要 恢复 ? 备份 和 恢复 都 是 针对 哪 
种 密 钥 进行 的 ? 

7. 什么 情况 下 需要 执行 证 书 撤销 操作 ? 有 哪 两 种 主要 的 发 布 已 撤销 证 书 的 方法 ? 
8. 为 什么 密 钥 需要 定期 更 换 ? 也 就 是 说 ,为 什么 原来 的 密 钥 必须 执行 销毁 操作 ? 
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第 10 章 “IPSec 协议 


10.1 IPSec 安全 体系 结构 
10.1.1 IPSec 概述 


IPSec 是 由 IETF IPSec 工作 组 设计 的 一 种 端 到 端的 确保 IP 层 通信 安全 的 机 制 , 它 
不 是 一 个 单独 的 协议 ,而 是 一 组 协议 。IPSec 随 着 IPv6 的 制定 而 产生 ,后 来 增加 了 对 
IPv4 的 支持 。 在 前 者 中 是 必需 的 ,在 后 者 中 可 选 。 目 前 IPSec 最 主要 的 应 用 是 构造 虚拟 
专用 网 (VPN) , 它 作 为 一 个 第 三 层 隧道 协议 实现 了 VPN 通信 ,可 以 为 IP 网 络 通信 提供 
透明 的 安全 服务 ,保证 数据 的 完整 性 和 机 密 性 ,有 效 抵 御 网 络 攻击 。 它 所 使 用 的 加 密 算法 
和 完整 性 验证 算法 从 目前 看 来 是 不 可 能 被 破解 的 。 定 义 IPSec 协议 簇 的 RFC 如 表 10. 1 
所 示 。 

表 10.1 定义 IPSec 协议 徐 的 RFC 


RFC 内 容 二 
2401 | IPSec 体系 结构 全 体系 结构 

2402 |AH 协议 1 1 
2403 | HMAC-MD5-96 在 AH 和 ESP 中 的 应 用 | ESP AH 
2404 | HMAC-SHA-1-96 在 AH 和 ESP 中 的 应 用 

2405 |DES-CBC 在 ESP 中 的 应 用 [本 和 


2406 | ESP 协议 
2407 |IPSec DOI 


2408 |ISAKMP 协议 和 

2409 |IKE 协议 

2410 |NULL 加 密 算法 及 其 在 IPSec 中 的 应 用 | 密 钥 管理 协议 LKE | | 安全 关联 SA 
2411 | IPSec 文档 路 线 图 | 

2412 | OAKLEY 协议 图 10.1 IPSec 各 组 件 的 关系 图 


IPSec 众多 的 RFC 通过 关系 图 组 织 在 一 起 .IPSec 各 组 件 的 关系 图 如 图 10. 1 所 示 。 
它 包含 了 三 个 最 重要 的 协议 : 鉴别 头 AH 封装 安全 载荷 ESP、 密 钥 交 换 协 议 IKE, 注 意 
这 些 协议 的 使 用 均 可 独立 于 具体 的 加 密 算法 : 

(1) AH 为 PP 数据 包 提供 3 种 服务 (统称 验证 ): 数据 完整 性 验证 ,通过 使 用 Hash 
函数 (如 MD5) 产 生 的 验证 码 来 实现 ;数据 源 身份 认证 ,通过 在 计算 验证 码 时 加 入 一 个 共 
享 的 会 话 密 钥 来 实现 ; 防 重 放 攻 击 ,在 AH 报头 中 加 入 序列 号 可 以 防止 重 放 攻 击 。 

(2) ESP 除了 为 耻 数据 包 提供 AH 上 述 的 3 种 服务 外 ,还 能 够 提供 数据 加 密 。 
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在 创建 一 个 基于 IPSec 的 VPN 时 ,可 以 嵌 套 使 用 这 两 种 协议 。 可 以 在 两 台 主 机 之 
间 \ 两 台 安全 网 关 ( 防 火 墙 / 路 由 器 ) 之 间 ,或 者 主机 与 安全 网 关 之 间 使 用 这 两 种 协议 。 

(3) IKE 负责 密 钥 管理 ,定义 了 通信 实体 间 进 行 身份 认证 .协商 加 密 算 法 以 及 生成 共 
享 的 会 话 密 钥 的 方法 。IKE 将 密 钥 协商 的 结果 保留 在 安全 关联 (SA) 中 , 供 AH 和 ESP 
以 后 通信 时 使 用 。 解 释 域 (DODI) 为 使 用 IKE 进行 协商 SA 的 协议 统一 分 配 标识 符 。 

IPSec 有 以 下 两 种 运行 模式 : 


1. 传输 模式 


传输 模式 下 要 保护 的 是 IP 包 的 载荷 ,可 能 是 TCP/UDP/ICMP 协议 ,也 可 能 是 AH/ 
ESP 协议 。 传 输 模式 只 为 上 层 协 议 提供 安全 保护 ,通常 情况 下 它 只 能 提供 两 台 主 机 之 间 
的 安全 通信 ,所 以 需要 在 每 台 主 机 上 安装 软件 ,工作 量 巨 大 ,而 且 它 不 能 隐藏 主机 的 IP 地 
址 。 启 用 IPSec 传输 模式 后 ,IPSec 会 在 传输 层 包 的 前 面 增加 AH/ESP 头 部 或 同时 增加 
两 种 头 部 ,构成 一 个 AH/ESP 数据 包 , 然 后 添加 IP 头 部 组 成 IP 包 。 


2. 隧道 模式 


隧道 模式 保护 的 是 整个 原始 卫 包 ,为 IP 协议 本 身 而 不 只 是 上 层 协 议 提供 安全 保护 。 
通常 情况 下 只 要 使 用 IPSec 的 双方 有 一 方 是 安全 网 关 , 就 必须 使 用 隧道 模式 ,隧道 模式 的 
一 个 优点 是 可 以 隐藏 内 部 主机 和 服务 器 的 IP 地 址 。 大 部 分 VPN 都 使 用 隧道 模式 ,因为 
它 不 仅 对 整个 原始 报 文 加 密 , 还 对 通信 的 源 地 址 和 目的 地 址 进行 部 分 和 全 部 加 密 。 只 需 
要 在 安全 网 关 , 而 不 需要 在 内 部 主机 上 安装 VPN 软件 ,由 前 者 负责 数据 的 加 密 和 解密 
工作 。 

启用 IPSec 隧道 模式 后 ,IPSec 将 原始 IP 包 看 作 一 个 整体 作为 要 保护 的 内 容 , 前 面 加 
上 AH/ESP 头 部 ,再 加 上 新 IP 头 部 组 成 新 IP 包 。 隧 道 模 式 的 数据 包 有 两 个 IP 头 : 内 部 
头 由 路 由 器 背后 的 主机 创建 ,是 通信 终点 ;外 部 头 由 提供 IPSec 的 设备 (如 路 由 器 ) 创 建 ， 
是 IPSec 终点。 事实 上 , IPSec 的 传输 模式 和 隧道 模式 分 别 类 似 于 其 他 隧道 协议 (如 
L2TP) 的 自愿 隧道 和 强制 隧道 , 即 一 个 是 由 用 户 实施 , 另 一 个 是 由 网 络 设备 实施 。 


10.1.2 安全 关联 和 安全 策略 


AH 和 ESP 都 使 用 安全 关联 (Security Associate,SA) 来 保护 通信 ,而 IKE 的 主要 功 
能 就 是 在 通信 之 前 ,在 通信 双方 之 间 协 商 SA,SA 是 构成 IPSec 的 基础 。 所 谓 安全 关联 就 
是 指 在 安全 服务 与 它 服 务 的 载体 之 间 的 一 个 安全 “连接 ”,IPSec 通过 使 用 这 个 概念 在 无 
连接 的 IP 服务 中 引入 一 些 面向 连接 的 特性 , 即 为 特定 的 通信 活动 提供 安全 服务 的 上 
下 奖 。 

SA 是 在 两 个 IPSec 实体 (主机 /安全 网 关 ) 之 间 经 过 协商 建立 起 来 的 一 种 协定 ,决定 
保护 什么 .如 何 保护 以 及 谁 来 保护 。 内 容 包 括 采用 何 种 IPSec 协议 、 运 行 模式 、 验 证 算法 、 
加 密 算法 .加 密 密 钥 、 密 钥 生 存 期 、 抗 重 放 窗口 .计数 器 。 

SA 是 单 向 的 .每 个 通信 方 必须 有 两 个 SA( 进 入 /外 出 SA) ,这 两 个 SA 构成 一 个 SA 
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东 (bundle) 。 一 个 SA 对 IP 数据 包 也 不 能 同时 提供 AH 和 ESP 保护 , 当 需 要 对 SA 进行 
组 合 时 ,组 合 结果 也 成 为 一 个 SA 东 。SA 有 两 种 管理 方式 ; 

(1) 手工 管理 : 由 管理 员 手 工 维护 ,VPN 规模 大 时 容易 出 错 , 且 无 生存 期 限制 ,除非 
F 工 删除 ,否则 有 安全 隐患 。 

(2) IKE 自动 管理 : SA 的 建立 和 动态 维护 是 通过 IKE 进行 的 ,IPSec 的 SA 就 使 
用 这 种 动态 管理 方式 ,其 中 的 密 钥 可 以 快速 更 新 。 如 果 安 全 策略 要 求 建立 安全 、 保 
密 的 连接 ,但 又 不 存在 与 该 连接 相应 的 SA, IPSec 的 内 核 会 立刻 启动 IKE 来 协 
商 SA。 

每 个 SA 由 三 元 组 二 SPI, 源 /目的 IP 地 址 ,IPSec> 唯 一 标识 ,这 3 项 的 含义 如 下 : 

Q@ SPI( 安 全 参数 索引 ): 32 位 ,标识 同一 个 目的 地 的 SA, 用 于 唯一 标识 这 个 报 文 所 
属 的 安全 关联 。 

@ 源 / 目 的 了 P 地 址 : 表示 对 方 IP 地 址 ,对 于 外 出 数据 包 , 是 指 目的 IP 地 址 ;对 于 进 
和 数据 包 , 是 指 源 IP 地 址 。 

@ IPSec 协议 : 采用 AH 还 是 ESP。 

SAD( 安 全 关联 数据 库 ) 是 将 所 有 的 SA 以 某 种 数据 结构 集中 存储 的 一 个 列表 。 
IPSec 对 报 文 的 处 理 过 程 如 下 : 

(1) 对 于 外 出 的 流量 : 如 果 需 要 使 用 IPSec 处 理 ,而 通过 查找 SAD 发 现 相 应 的 SA 
不 存在 , 则 IPSec 将 启动 IKE 来 协商 一 个 SA ,并 存储 到 SAD 中 。 

(2) 对 于 进入 的 流量 : 如 果 需 要 使 用 IPSec 处 理 ,IPSec 将 从 IP 包 中 得 到 三 元 组 ,并 
利用 这 个 三 元 组 中 的 SPI 在 SAD 中 查找 一 个 SA, 以 决定 如 何 对 报 文 处 理 。 

SP( 安 全 策略 ) 指 示 对 IP 数据 包 提供 何 种 保护 ,并 以 何 种 方式 实施 保护 。SP 主要 根 
据 源 IP 地 址 .目的 IP 地址、 入 数据 还 是 出 数据 等 来 标识 。 

SPD( 安 全 策略 数据 库 ) 是 将 所 有 的 SP 以 某 种 数据 结构 集中 存储 的 一 个 列表 。 当 要 
将 卫 包 发 送出 去 时 ,或 者 接收 到 卫 包 时 ,首先 要 查找 SPD 来 决定 如 何 进 行 处 理 。 存 在 3 
种 可 能 的 处 理 方式 : 

(1) 丢弃 : 流量 不 能 离开 主机 或 者 发 送 到 应 用 程序 ,也 不 能 进行 转发 。 

(2) 不 用 IPSec: 将 流量 作 普 通 流量 处 理 , 不 需要 额外 的 IPSec 保护 。 

(3) 使 用 IPSec: 对 流量 应 用 IPSec 保护 ,此 时 这 条 安全 策略 要 到 SAD 中 查找 一 个 SA。 

从 这 个 角度 上 说 ,IPSec 的 工作 原理 类 似 于 包 过 滤 防 火 墙 ,当然 对 IP 数据 包 的 处 理 
方法 ,除了 包 过 滤 防 火 墙 中 的 丢弃 和 直接 转发 ( 即 不 用 或 绕 过 IPSec) 外 ,IPSec 还 可 以 对 
数据 包 进 行 IPSec 处 理 。 


10.2 IPSec 安全 协议 一 一 AH 
10.2.1 AH 概述 


AH 协议 提供 数据 完整 性 验证 和 数据 源 身份 认证 ,使 用 的 是 HMAC 算法 。HMAC 
算法 和 Hash 算法 非常 相似 ,一 般 是 由 Hash 算法 演变 而 来 ,也 就 是 将 输入 报 文 和 双方 事 
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先 已 经 共享 的 对 称 密 钥 结合 然后 应 用 Hash 算法 。 只 有 采用 相同 HMAC 算法 并 共享 密 
钥 的 通信 双方 才能 产生 相同 的 验证 数据 。 所 有 的 IPSec 必须 实现 两 个 算法 : HMAC- 
MD5 和 HMAC-SHA1。 

AH 和 ESP 的 最 大 区 别 有 两 个 : 一 个 是 AH 不 提供 加 密 服务 ; 另 一 个 是 它们 验证 的 
范围 不 同 , ESP 不 验证 IP 报头 ,而 AH 同时 验证 部 分 报头 ,所 以 需要 结合 使 用 AH 和 
ESP 才能 保证 IP 报头 的 机 密 性 和 完整 性 。AH 为 IP 包 提 供 尽 可 能 多 的 验证 保护 ,验证 
失败 的 包 将 被 丢弃 ,不 交 给 上 层 协议 解密 ,这 种 操作 模式 可 以 减少 拒绝 服务 攻击 成 功 的 
机 会 。 


10.2.2 AH 头 部 格式 
AH 协议 是 被 下 协议 封装 的 协议 之 一 ,如 果 IP 协议 头 部 的 “下 一 个 头 ” 字 有 段 是 51, 则 


IP 包 的 载荷 就 是 AH 协议 ,在 IP 包头 后 面 跟 的 就 是 AH 协议 头 部 。AH 报 文 头 部 如 
图 10. 2 所 示 。 


8 位 ， 8 位 ， 16 位 
-一 个 类 | 有 效 载荷 
下 一 个 头 长 度 保留 
安全 参数 索引 
序列 号 | 
验证 数据 区 HL 人 
Ee | 
32 位 


图 10.2 AH 报 文 头 部 


(1) 下 一 个 头 : 表 示 紧 跟 在 AH 头 部 后 面 的 协议 类 型 。 在 传输 模式 下 ,该 字段 是 处 于 
保护 中 的 传输 层 协议 的 值 ,如 6(TCP)、17(UDP) 或 50(ESP) 。 在 隧道 模式 下 ,AH 保护 
整个 IP 包 ,该 值 是 4, 表 示 是 IP-in-IP 协议 。 

(2) 有 效 载 荷 长 度 :其 值 是 以 32 位 (4 字 节 ) 为 单位 的 整个 AH 数据 (包括 头 部 和 变 
长 验证 数据 ) 的 长 度 再 减 2 。 

(3) 保留 :准备 将 来 对 AH 协议 扩展 时 使 用 。 

(4) SPI: 值 为 [256,2” 一 1]。 实 际 上 它 是 用 来 标识 发 送 方 在 处 理 IP 数据 包 时 使 用 了 
哪些 安全 策略 , 当 接 收 方 看 到 这 个 字段 后 就 知道 如 何 处 理 收 到 的 IPSec 包 。 

(5) 序列 号 :一 个 单调 递增 的 计数 器 ,为 每 个 AH 包 赋 予 一 个 序号 。 当 通信 双方 建立 
SA 时 ,初始 化 为 0。SA 是 单 向 的 ,每 发 送 /接收 一 个 包 , 外 出 /进入 SA 的 计数 器 增 1。 该 
字段 可 用 于 抗 重 放 攻击 。 

(6) 验证 数据 :可 变 长 部 分 ,包含 完整 性 验证 码 , 也 就 是 HMAC 算法 的 结果 , 称 为 
ICV , 它 的 生成 算法 由 SA 指定 。 
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10.2.3 AH 运行 模式 


1. AH 传输 模式 


AH 头 部 插入 到 也 头 部 之 后 ,传输 层 协议 或 者 其 他 IPSec 协议 之 前 。 被 AH 验证 
的 区 域 是 整个 全 包 ( 可 变 字段 除外 ) ,包括 全 头 部 ,因此 全 包 的 源 /目的 IP 地 址 不 能 修 
改 。 但 该 包 在 传送 过 程 中 经 过 网 络 地 址 转换 (NAT) 网 关 , 其 源 / 目 的 IP 地 址 必然 将 被 
改变 ,也 会 造成 完整 性 验证 失败 ,但 这 种 验证 失败 不 是 数据 本 身 被 修改 造成 的 。 因 此 ， 
AH 在 传输 模式 下 和 NAT 是 冲突 的 ,不 能 同时 使 用 ,或 者 说 AH 不 能 穿越 NAT。 传 输 
模式 的 AH 实现 如 图 10. 3 所 示 。 


11.143.1.254 22.13.2.59 [~ YN 27.168.3.60 (Ss2% 63.168.2.25 
lntemet 


11.143.1.1 


安全 网 关 1 


< 


11.143.1/24 63,168,2/24 
图 10.3 传输 模式 的 AH 实现 


AH 传输 模式 有 如 下 优点 : 

， 即 使 内 网 中 的 其 他 用 户 , 也 不 能 理解 或 自 改 主机 11 和 主机 21 之 间 传 输 的 数据 
内 容 。 

。 分 担 了 IPSec 处 理 负 荷 ,避免 了 IPSec 处 理 的 瓶颈 问题 。 

AH 传输 模式 也 有 如 下 缺点 : 

* 每 个 希望 实现 传输 模式 的 主机 都 必须 安装 IPSec 协议 ,因此 不 能 实现 对 端 用 户 透 
明 服 务 。 用 户 为 获得 IPSec 提供 的 安全 服务 ,必须 付出 内 存 、 处 理 时 间 等 方面 的 
代价 。 

* 不 能 使 用 私有 IP 地 址 ,必须 使 用 公有 IP 地 址 资源 。 

* 暴露 了 子 网 内 部 拓扑 。 


2. AH 隧道 模式 


AH 头 部 插入 到 原始 IP 头 部 之 前 ,再 在 AH 之 前 增加 一 个 新 IP 头 部 ,隧道 模式 的 
AH 实现 如 图 10.4 所 示 。 

AH 的 验证 范围 也 是 整个 IP 包 ,同样 此 时 AH 也 不 能 穿越 NAT。 数 据 完整 性 验证 
过 程 如 下 : 在 发 送 方 ,整个 IP 包 和 验证 密 钥 作为 输入 ,经 过 HMAC 算法 计算 后 得 到 的 结 
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果 被 填充 到 AH 头 部 的 “验证 数据 ”字段 中 ;在 接收 方 ,整个 IP 包 和 验证 密 钥 也 作为 输入 ， 
经 过 HMAC 算法 计算 的 结果 和 AH 头 部 的 “验证 数据 ”进行 比较 ,如 果 一 致 说 明 该 数据 
包 没 有 被 自 改 ,内 容 是 真实 可 信和 的。 


主机 11 
是 AH 
11.143.1.1 11.143. 
安全 网 关 1 
| 


11.143.1/24 63.168.2/24 
图 10.4 隧道 模式 的 AH 实现 


AH 隧道 模式 有 如 下 优点 : 
。 保护 子 网 中 的 所 有 用 户 都 可 以 透明 地 享受 由 安全 网 关 提供 的 安全 保护 。 
。 子 网 内 部 可 以 使 用 私有 IP 地 址 ,无 需 公 有 IP 地 址 资源 。 

。 保护 子 网 内 部 的 拓扑 结构 。 

AH 隧道 模式 也 有 如 下 缺点 : 

。 增 大 了 网 关 的 处 理 负荷 ,容易 形成 通信 瓶颈 。 

。 对 内 部 的 诸多 安全 问题 (如 算 改 等 ) 将 不 可 控 。 

AH 传输 模式 和 隧道 模式 报 文 的 格式 如 图 10. 5 所 示 。 

IP 头 部 ( 含 选项 字段) 
TCP 头 部 (全 选项 字段 ) 
数据 
() 应 用 AH 之 前 


亚 头 部 ( 含 选项 字段 ) t 
AH 部 验证 区 域 
TCF 大 部 ( 合 选 项 字段 (可 变 字段 除外 ) 
(b) 应 用 AH 之 后 (传输 模式 ) 


新 ]P 头 部 ( 含 选项 字段 ) t 


AH 头 部 
TCP 头 部 ( 含 选项 字段 ) 
数据 1 
(0) 应 用 AH 之 后 (隧道 模式 ) 


10.5 AH 传输 模式 和 隧道 模式 报 文 的 格式 
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10.3 IPSec 安全 协议 一 一 ESP 
10.3.1 ESP 概述 


ESP 协议 提供 数据 完整 性 验证 和 数据 源 身份 认证 的 原理 和 AH 一 样 ,只 是 和 AH 相 
比 ESP 的 验证 范围 要 小 些 。ESP 协议 规定 了 所 有 IPSec 系统 必须 实现 的 验证 算法 : 
HMAC-MD5、HMAC-SHA1、NULL。 和 L2TP、GRE、AH 等 其 他 隧道 技术 相 比 ,ESP 具 
有 特有 的 安全 机 制 一 一 加 密 , 而 且 可 以 和 其 他 隧道 协议 结合 使 用 ,为 用 户 的 远程 通信 提供 
更 强大 的 安全 支持 。ESP 加 密 采 用 的 则 是 对 称 加 密 算法 , 它 规定 了 所 有 IPSec 系统 必须 
实现 的 加 密 算法 是 DES-CBC 和 NULL ,使 用 NULL 是 指 实际 上 不 进行 加 密 或 验证 。 


10.3.2 ESP 头 部 格式 


ESP 协议 是 被 IP 协议 封装 的 协议 之 一 。 如 果 IP 协议 头 部 的 “下 一 个 头 ? 字 段 是 50， 
卫 包 的 载荷 就 是 ESP 协议 ,在 IP 包头 后 面 跟 的 就 是 ESP 协议 头 部 。ESP 报 文 头 部 如 
图 10. 6 所 示 , 其 中 ESP 头 部 包含 SPI 和 序列 号 字段 ,ESP 尾部 包含 填充 项 ,填充 长 度 和 
下 一 个 头 字段 。 


1 8 位 | 8 位 16 位 1 
=— 一 一 一 一 一 | 
安全 参数 下 
序列 号 _ 
报 文 有 效 考 共 | 长 度 可 变 
填充 项 (可 远 ) 
长 度 可 变 
| 验证 数据 (可 迁 ) 从 
= —— -| 
3 


图 10.6 ESP 报 文 头 部 


(1) SPI: 值 为 [256,2* 一 1]。 

(2) 序列 号 :是 一 个 单调 递增 的 计数 器 ,为 每 个 ESP 包 赋 予 一 个 序号 。 当 通信 双方 
建立 SA 时 ,初始 化 为 0。SA 是 单 向 的 ,每 发 送 / 接 收 一 个 包 , 外 出 /进入 SA 的 计数 器 增 
1。 该 字段 可 用 于 抗 重 放 攻击 。 

(3) 报 文 有 效 载荷 :是 变 长 的 字段 ,如 果 SA 采用 加 密 , 该 部 分 是 加 密 后 的 密 文 ;如 果 
没有 加 密 ,该 部 分 就 是 明文 。 

(4) 填充 项 :是 可 选 的 字段 ,为 了 对 齐 待 加 密 数据 而 根据 需要 将 其 填充 到 4 字 节 边界 。 

(5) 填充 长 度 :以 字 节 为 单位 指示 填充 项 长 度 , 范 围 为 [0,255] 。 

(6) 下 一 个 头 : 表 示 紧 跟 在 ESP 头 部 后 面 的 协议 ,其 中 值 为 6 表示 后 面 封装 的 
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是 TP, 
(7) 验证 数据 :是 变 长 的 字段 ,只 有 选择 了 验证 服务 时 才 需 要 有 该 字段 。 


10.3.3 ESP 运行 模式 


1. ESP 传输 模式 


要 保护 的 是 IP 包 的 载荷 ,例如 TCP/UDP/ICMP 等 ,或 者 是 其 他 IPSec 协议 。ESP 
头 部 插入 到 IP 头 部 后 ,任何 被 封装 的 协议 之 前 。 传 输 模 式 的 ESP 实现 如 图 10. 7 所 示 。 


22.13.2.59 


27.168.3.60 


(SR 63.168.2.254 


3 


安全 网 关 2 


Intemet 


安全 网 关 1 


虽 


11.143.1/24 63,168,2/24 
图 10.7 传输 模式 的 ESP 实现 


(1) 如 果 使 用 了 加 密 方式 ,SPI 和 序列 号 字段 不 能 被 加 密 。 

g@ 在 接收 端 ,SPI 字段 用 于 和 源 IP 地 址 .IPSec 协议 一 起 组 成 一 个 三 元 组 来 唯一 确 
定 一 个 SA ,利用 该 SA 进行 验证 ,解密 等 后 续 处 理 。 如 果 SPI 被 加 密 了 ,要 解密 就 必须 找 
到 SA ,而 查找 SA 又 需要 SPI, 这 样 一 来 也 就 根本 无 法 解密 数据 包 。 

@ 序列 号 字段 用 于 判断 包 是 否 重复 ,从 而 可 以 防止 重 放 攻击 。 序 列 号 字段 不 会 泄露 
明文 中 的 信息 ,所 以 没有 必要 加 密 。 序 列 号 字段 不 加 密 也 使 得 一 个 包 不 需要 经 过 烦琐 的 
解密 过 程 就 可 以 判断 包 是 否 重 复 ,如 果 重 复 则 丢弃 它 ,节约 时 间 和 资源 。 

(2) 如 果 要 使 用 验证 ,验证 数据 也 不 会 被 加 密 , 因 为 SA 需要 ESP 的 验证 服务 ,那么 
接收 端 会 在 进行 任何 后 续 处 理 之 前 先进 行 验证 。ESP 的 验证 不 会 对 整个 IP 包 进 行 验证 ， 
如 也 包头 部 ( 含 选项 字段 ) 不 需要 被 验证 。ESP 传输 模式 的 验证 服务 要 比 AH 传输 模式 
弱 一 点 ,如 果 需 要 更 强 的 验证 服务 并 且 通 信 双 方 都 是 公有 IP 地 址 , 且 注 重 网 络 传输 的 性 
能 时 ,应 该 采用 AH 来 验证 。 


2. ESP 隧道 模式 


要 保护 的 是 整个 IP 包 ,对 整个 耳 包 进行 加 密 。ESP 头 部 插入 到 原 IP 头 部 ( 含 选项 
字段 ) 之 前 ,在 ESP 之 前 再 插入 新 的 IP 头 部 。 隧 道 模式 的 ESP 实现 如 图 10. 8 所 示 ,在 隧 
道 模式 下 ,新 的 IP 报 文中 有 两 个 IP 头 部 : 

(1) 里 面 的 了 P 头 部 是 原始 的 IP 头 部 ,含有 真实 的 源 IP 地 址 .最终 的 目的 IP 地 址 。 

(2) 外 面 的 IP 头 部 的 人 * 地 址 是 安全 网 关 的 了 了 地 址 ,这 样 两 个 子 网 中 的 主机 可 以 利 
用 ESP 进行 安全 通信 。 
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< a ESP es ESP SN 


11.143.1.254 22 27.168.3.60 63.1682254 | ~ 
Weld. (六 人 全 63.1682.1 
I 
安全 网 关 1 安全 网 关 2 
11.143.1/24 63.168.2/24 


图 10.8 隧道 模式 的 ESP 实现 


外 部 IP 头 部 既 不 被 加 密 也 不 被 验证 : 不 被 加 密 是 因为 路 由 器 需要 这 些 信息 来 寻找 
路 由 ;不 被 验证 是 为 了 能 适用 于 NAT 的 情况 。 所 以 ESP 不 存在 像 AH 那样 和 NAT 模 
式 冲突 的 问题 ,即使 通信 的 任何 一 方 具 有 私有 地 址 或 者 在 安全 网 关 背 后 ,双方 的 通信 仍然 
可 以 用 ESP 来 保护 其 安全 。 因 为 IP 头 部 中 的 源 / 目 的 IP 地 址 和 其 他 字段 不 需要 被 验 
证 ,可 以 被 NAT 网 关 或 安全 网 关 修 改 , 所 以 实现 IPSec VPN 时 更 多 的 是 使 用 ESP 协议 
的 隧道 模式 。 

ESP 隧道 模式 的 验证 和 加 密 能 够 提供 比 ESP 传输 模式 更 强大 的 安全 功能 。 但 隧道 
模式 将 占用 更 多 的 带宽 ,如 果 带 宽 利 用 率 是 关键 问题 , 则 用 传输 模式 更 适合 。ESP 传输 
模式 和 隧道 模式 报 文 的 格式 如 图 10.9 所 示 。 

| T 头 部 ( 含 选项 字段) 
| TCP 头 部 ( 含 选项 字段 ) 
| 数据 
(a) 应 用 ESP 之 前 
TP 头 部 ( 含 选项 字段 ) 
P 头 部 
| ”TCP 头 部 ( 仿 选 项 字段 } 
加 密 区 域 数据 
ESP 昆 部 
ESP 验 证 数据 
(b) 应 用 ESP 之 后 (传输 模式 ) 


新 人 P 头 部 ( 含 选项 字段 ) 
ESP 头 部 
TP 头 部 ( 含 选 项 字段 ) 
TCP 头 部 ( 含 选项 字段 ) 验证 区 域 
数据 
1 ESP 尾 部 
ESP 验 证 数据 
(©) 应 用 ESP 之 后 (隧道 模式 ) 


10.9 ESP 传输 模式 和 隧道 模式 报 文 的 格式 
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嵌 套 使 用 AH 和 ESP 时 ,应 该 先 用 ESP 对 原始 报 文 进行 加 密 , 再 用 AH 进行 完整 性 
计算 ,即将 AH 头 插 入 到 了 了 头 和 ESP 头 之 间 , 将 ESP 头 插入 到 AH 头 和 被 保护 数据 包 
的 头 部 之 间 。 那 么 接收 方 解 封装 时 ,就 会 先 对 发 送 过 来 的 数据 进行 完整 性 验证 ,只 有 通过 
验证 的 数据 包 对 其 进行 解密 才 有 意义 ,因为 相对 来 说 解密 是 非常 耗 时 的 工作 。 

表 10. 2 概括 并 比较 了 AH 和 ESP 在 传输 模式 和 隧道 模式 下 的 功能 。 

表 10.2 传输 模式 和 隧道 模式 中 AH 和 ESP 功能 的 比较 


认证 服务 方式 传输 模式 隧道 模式 
AH 认证 下载 荷 和 卫 头 中 的 一 部 分 “| 认证 整个 内 部 IP 包 和 部 分 外 部 IP 包头 部 分 
不 带 认证 的 ESP | 加 密 了 载荷 加 密 内 部 他 包 
带 认 证 的 ESP 加 密 IP 载荷 ,认证 全 载荷 加 密 内 部 全 包 ,认证 内 部 人 P 包 


10.4 IPSec 密 钥 管理 协议 一 一 IKE 


在 IPSec 保护 一 个 包 之 前 ,需要 先 建立 一 个 安全 关联 SA。SA 可 以 手工 建立 ,也 可 以 
自动 建立 , 当 用 户 数量 不 多 ,而 且 密 钥 的 更 新 频率 不 高 时 ,可 以 用 手工 建立 SA。 但 当 用 
户 较 多 ,网络 规模 较 大 时 ,就 应 该 选择 使 用 自动 方式 。 

IKE(Internet 密 钥 交换 ) 协 议 就 是 IPSec 目前 唯一 确定 的 用 于 密 钥 管 理 的 协议 , 它 可 
以 自动 管理 SA 的 建立 .协商 、 修 改 和 删除 等 。IKE 是 一 个 混合 型 的 协议 , 它 使 用 
ISAKMP 的 通用 框架 .OAKLEY 的 密 钥 交换 模式 以 及 SKEME 的 共享 和 密 钥 更 新 技术 ， 
定义 出 自己 独一无二 的 验证 加 密 材料 生成 技术 以 及 协商 共享 策略 。 

ISAKMP( 安 全 关联 密 钥 管理 协议 ) 虽 然 定 义 了 协商 、 建 立 、 修改 和 删除 SA 的 过 程 和 
包 格式 ,但 它 只 为 SA 的 属性 和 使 用 SA 的 方法 提供 了 一 个 通用 的 框架 ,并 没有 定义 具体 
的 SA 格式 。ISAKMP 没有 定义 任何 密 钥 交 换 协议 的 细节 ,也 没有 定义 任何 具体 的 加 密 
算法 、 密 钥 生 成 技术 或 者 认证 机 制 。 这 个 通用 的 框架 是 与 密 钥 交换 独立 的 ,ISAKMP 在 
协议 栈 中 的 位 置 如 图 10. 10 所 示 。 
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图 10.10 ISAKMP 在 协议 栈 中 的 位 置 


IKE 与 ISAKMP 不 同 之 处 在 于 : IKE 在 ISAKMP 框架 中 真正 定义 了 一 个 使 用 
OAKLEY 算法 进行 密 钥 交换 的 过 程 ,而 ISAKMP 只 是 定义 了 一 个 通用 的 可 被 任何 密 铀 
交换 协议 使 用 的 框架 。 从 这 个 角度 来 说 ,IKE 是 ISAKMP 的 实例 化 。 
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IKE 的 特点 就 是 它 永 远 不 在 不 安全 的 网 络 上 直接 传送 密 钥 ,而 是 通过 一 系列 数据 的 
交换 ,最 终 计 算出 双方 共享 的 密 钥 ,并 且 即 使 第 三 方 截获 了 双方 用 于 计算 密 钥 的 所 有 交换 
数据 ,也 不 足以 计算 出 真正 的 密 钥 。 

IKE 协议 为 IPSec 通信 双方 提供 密 钥 材料 ,这 个 材料 用 于 生成 加 密 密 钥 和 验证 密 钥 ; 
它 还 负责 IPSec 的 认证 和 协商 ,可 以 保证 和 指定 设备 进行 加 密 通信 的 主机 合法 ,然后 对 使 
用 的 加 密 算法 类 型 进行 协商 。 在 密 钥 协商 过 程 中 用 到 了 带 Cookie 交换 机 制 的 Diffie- 
Hellman 密 钥 交换 算法 ,同时 IKE 也 可 以 提供 给 其 他 协议 作为 密 钥 交换 的 手段 。 

IKE 使 用 两 阶段 协议 预先 在 通信 实体 之 间 建 立 一 个 安全 关联 : 第 一 阶段 ,协商 并 创 
建 一 个 通信 信道 (IKE SA) ,对 该 信道 进行 验证 ,为 双方 进一步 的 IKE 通信 提供 机 密 性 、 
完整 性 以 及 数据 源 验证 服务 ;第 二 阶段 ,使 用 已 建立 的 IKE SA 来 建立 IPSec SA。 

需要 指出 ,在 第 一 阶段 的 交互 中 ,交互 双方 可 以 验证 对 方 的 公 钥 证 书 。IPSec SA 的 
创建 者 可 以 选用 主 模式 或 野蛮 模式 建立 IKE SA, 其 中 主 模式 需要 3 次 交互 共 6 次 通信 ， 
而 野蛮 模式 仅仅 需要 3 次 通信 ,后 者 虽然 效率 较 高 ,但 安全 性 相对 较 低 。 在 第 二 阶段 ,两 
个 对 等 实体 在 前 面 协商 的 IKE SA 的 保护 下 ,进行 所 谓 的 快速 模式 交换 ,协商 建立 用 于 
IPSec 协议 的 SA。 

总 之 ,IKE 可 以 动态 地 建立 安全 关联 和 共享 密 钥 。IKE 建立 安全 关联 的 实现 非常 复 
杂 。 从 一 方面 看 , 它 是 IPSec 协议 实现 的 核心 ;从 另 一 方面 看 , 它 也 很 可 能 成 为 整个 系统 
的 瓶颈 。 进 一 步 优化 IKE 程序 和 密码 算法 是 实现 IPSec 的 核心 问题 之 一 。 


10.5 IPSec 的 安全 问题 


与 其 他 安全 产品 和 安全 协议 一 样 ,IPSec 也 可 能 被 攻击 和 受到 危害 。 即 使 IPSec 所 使 
用 的 密 钥 有 足够 的 强度 ,但 通过 记录 层 的 主动 攻击 仍 能 打破 系统 的 安全 性 。 

(1) 远程 攻击 者 可 以 利用 IPSec 的 ESP 中 的 漏洞 进行 拒绝 服务 攻击 。 在 ESP 的 实 
现 中 存在 一 个 错误 ,其 没有 检查 ESP 头 部 是 否 真正 提供 了 验证 数据 ,或 者 提供 得 是 否 充 
分 或 正确 。 结 果 导 致 了 可 以 伪造 非常 短 的 ESP 包 , 发 给 IPSec 处 理 时 使 内 核 出 错 。 

(2) 针对 IPSec 最 多 的 攻击 可 能 是 “实现 方式 攻击 ”。 通 信 的 双方 通过 安全 关联 (SA) 
建立 新 的 通信 ,但 当 一 方 建议 使 用 一 种 加 密 / 验 证 算法 ,而 另 一 方 建议 使 用 另 一 种 加 密 / 验 
证 算法 时 , 则 由 厂商 决定 如 何 进行 选择 ,但 这 种 强制 性 选择 会 降低 安全 性 。 

(3) 在 IKE 的 说 明 中 ,任何 一 方 都 可 以 终止 会 话 ,但 另 一 方 没有 办 法 知道 会 话 已 被 终 
止 ,发 送 端 还 会 发 送 数据 ,此 时 如 何 阻止 接收 端 接收 这 些 数 据 , 还 有 如 何 避 免 使 用 弱 密 钥 ， 
都 是 抵抗 密 钥 管理 攻击 的 关键 问题 。 

(4) ISAKMP 协议 并 没有 说 明 一 个 特定 的 数字 签名 算法 ,也 没有 指出 采用 何 种 
类 型 的 证 书 管理 机 构 , 没 有 说 明证 书 类 型 的 标识 和 证 书 交换 。 如 果 接 收 端 使 用 了 一 
个 不 安全 的 CA ,或 者 把 自己 作为 CA, 同 时 攻击 者 破坏 了 该 CA, 将 来 所 有 的 通信 都 
很 脆弱 。 

Bruce Schneier 和 Counterpane Internet Security 公司 的 Niels Ferguson 对 IPSec 协 
议 提出 了 批评 :“ 我 们 认为 ,IPSec 本 身 过 于 复杂 ,因此 无 法 保证 其 安全 性 ”。 但 他 们 同时 
也 承认 ,尽管 IPSec 还 存在 不 少 问题 ,仍然 比 现 有 的 其 他 IP 安全 协议 更 好 一 些 。 
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《网 络 安全 原理 与 实践》 


10.6 IPSec 的 使 用 现状 


1. IPSec 的 优点 


IPSec 是 由 安全 体系 结构 AH、ESP IKE 以 及 用 于 鉴别 和 封装 载荷 的 若干 算法 标准 
等 构成 的 一 个 体系 。IPSec 为 IP 安全 提供 了 统一 的 和 切实 可 行 的 解决 方案 , 它 对 应 用 程 
序 和 终端 用 户 都 是 透明 的 。 开 发 商 可 以 根据 各 自 产 品 的 特点 ,采用 相应 算法 在 Internet 
协议 安全 框架 内 实现 IPSec。 

使 用 IPSec 的 主要 优点 是 可 以 在 了 P 层 加 密 和 (或 ) 认 证 所 有 流量 ,使 得 终端 系统 和 应 
用 程序 不 需要 任何 改变 就 可 以 利用 其 强 有 力 的 安全 性 保障 用 户 的 网 络 内 部 结构 ,并 且 因 
为 加 密 报 文 结构 类 似 于 普通 的 IP 报 文 ,所 以 可 以 很 容易 通过 任意 IP 网 络 ,而 无 须 改变 中 
间 的 网 络 设备 ,大 大 减 小 了 实现 与 管理 的 开销 。 由 于 IPSec 的 实现 位 于 网 络 层 上 ,实现 
IPSec 的 设备 仍 可 进行 正常 的 IP 通信 ,可 以 实现 设备 的 远程 监控 和 配置 。 

通过 对 IPSec 安全 性 的 研究 我 们 认为 : 相对 于 其 他 IP 安全 协议 来 说 ,IPSec 协议 的 
设计 和 实现 都 有 其 独特 的 优越 性 ,尽管 IPSec 本 身 过 于 复杂 ,也 有 一 些 安全 漏洞 被 发 现 ， 
但 总 的 来 说 ,IPSec 仍 是 目前 最 好 、 最 安全 和 使 用 最 广泛 的 VPN 隧道 协议 , 比 在 应 用 层 采 
用 认证 和 加 密 机 制 的 兼容 性 和 互通 性 好 得 多 ,而 且 不 需要 修改 客户 端 程序 。 在 目前 的 
IPv4 中 ,IPSec 作为 可 选项 出 现 ,而 在 将 来 的 IPv6 中 ,IPSec 是 其 中 必需 的 组 成 部 分 ,所 以 
IPSec 将 能 更 好 地 与 TCP/IP 协议 簇 结 合 。 


2. IPSec 性 能 和 安全 考虑 


由 于 使 用 IPSec 必须 修改 和 扩展 IP 栈 , 并 需要 在 内 存 存放 各 种 程序 和 数据 ,此 外 完 
成 各 种 完整 性 验证 数据 的 计算 、 加 密 和 解密 、 密 钥 管 理 、 公 开 密 钥 的 计算 都 会 导致 系统 性 
能 的 下 降 , 而 且 这 种 情况 在 SA 建立 时 会 更 加 严重 ,因此 IPSec 的 使 用 存在 性 能 问题 。 由 
于 软件 加 密 系统 的 性 能 有 限 , 因 此 在 必要 情况 下 安全 网 关 和 部 分 主机 可 以 使 用 硬件 加 密 
设备 。 

使 用 IPSec 会 增加 带宽 开销 ,因此 会 导致 传输 、 交 换 和 路 由 等 Internet 基础 设施 的 负 
载 上 升 。 产 生 这 个 问题 的 原因 是 增加 AH 和 ESP 报头 会 增加 整个 的 报头 长 度 ,如 果 使 用 
隧道 方式 将 再 增加 一 次 报头 长 度 ; 另 一 个 原因 是 密 钥 管理 协议 的 运行 也 需要 网 络 带 宽 。 
不 过 这 种 带宽 的 增加 并 不 会 明显 影响 Internet 的 基础 设施 ,可 以 考虑 在 加 密 之 前 进行 压 
缩 ,以 减轻 带宽 压力 。 另 外 由 于 IPSec 本 身 就 是 考虑 安全 问题 ,因此 一 旦 出 现 错误 的 情 
况 ,需要 进行 记录 和 审计 。 


3. IPSec 的 使 用 现状 


IPSec 的 本 意 是 希望 在 IP 层 统一 解决 TCP/IP 协议 徐 所 有 的 安全 问题 ,而 不 需要 在 
上 层 再 考虑 。 但 在 IPSec 提出 多 年 之 后 , 它 似乎 不 是 非常 成 功 ,SSL、SSH 等 安全 协议 似 
乎 应 用 更 广泛 ,即使 用 于 组 建 VPN 也 是 如 此 。 这 其 中 的 原因 有 : 一 是 IPSec 的 使 用 ,加 
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重 了 路 由 器 的 负担 ,所 以 IPSec 安全 协议 很 难得 到 将 吞吐 率 放 在 首位 的 网 络 运营 商 的 支 
持 , 而 SSL/SSH 在 这 方面 有 优势 ;二 是 IPSec 的 复杂 也 给 自己 的 使 用 增加 了 障碍 ,使 得 
IPSec 的 应 用 出 现 很 多 问题 。 

目前 要 让 IPSec 得 到 更 广泛 的 应 用 ,所 要 攻克 的 关键 技术 主要 有 IPSec 的 互 操作 性 、 
桌面 和 浏览 器 的 支持 .IPSec 的 QoS 保证 .IPSec 支持 多 协议 通信 问题 .IPSec 支持 动态 分 
配 IP 地址 问题 .IPSec VPN 穿越 NAT 的 问题 .IPSec 涉及 的 数据 包 分 片 和 ICMP 问题 、 
动态 密 钥 交换 IKE、 密 码 算 法 的 优化 实现 \ 高 性 能 随机 数 生 成 机 制 等 。 


习题 


.IPSec 包含 哪 3 个 最 重要 的 协议 ? 

. 什么 是 SA? SA 有 哪 两 种 管理 方式 ? 管理 上 有 什么 区 别 ? 

. AH 协议 为 IP 数据 包 提 供 哪 几 种 安全 服务 ? 简 述 它们 的 实现 过 程 。 
.ESP 协议 为 IP 数据 包 提供 哪 几 种 安全 服务 ? 简 述 它们 的 实现 过 程 。 

. 比较 AH 协议 和 ESP 协议 不 同 , 各 有 什么 优 缺点 ? 适用 场合 有 什么 不 同 ? 

6. AH 主要 为 IP 数据 包 提供 验证 功能 ,ESP 在 提供 验证 功能 的 同时 还 为 数据 包 提 
供 加 密 功 能 ,那么 ESP 协议 是 否 能 从 根本 上 取代 AH 协议 ? 为 什么 ? 

7. IPSec 有 哪 两 种 运行 模式 ? 它们 分 别 适 用 于 什么 样 的 安全 通信 场合 ? 画 出 示意 图 
说 明 : 在 两 种 模式 下 ,IPSec 协议 分 别 对 原 有 的 IP 数据 包 进 行 怎样 修改 来 实现 安全 通 
信 的 ? 

8. IKE 协议 的 作用 是 什么 ? 它 与 AH 和 ESP 协议 有 什么 关系 ? 

9. IKE 和 ISAKMP、OAKLEY、SKEME 有 什么 关系 ? IKE 和 ISAKMP 有 什么 
不 同 ? 


10. IKE 为 通信 实体 建立 安全 关联 需要 经 过 哪 两 个 阶段 ? 各 完成 什么 功能 ? 


an mw 
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第 11 章 电子 邮件 安全 


11.1 电子 邮件 的 安全 威胁 


电子 邮件 是 最 广泛 的 网 络 应 用 ,也 是 在 异 构 环 境 下 唯一 跨 平台 的 、 通 用 的 分 布 系统 。 
用 户 和 希望 并 能 够 直接 或 间接 地 给 通过 互联 网 相连 的 其 他 人 发 邮件 ,而 不 论 双方 使 用 的 是 
何 种 操作 系统 或 通信 协议 。 但 是 从 安全 角度 考虑 ,首先 电子 邮件 中 的 内 容 就 像 明信片 后 
面 的 信息 一 样 是 公开 的 和 可 获取 的 。 其 次 电子 邮件 的 传递 过 程 是 邮件 在 网 络 上 反复 复制 
的 过 程 , 其 网 络 传输 路 径 不 确定 ,很 容易 遭 到 不 明 身 份 者 的 窃取 、 算 改 . 冒 用 ,甚至 恶意 破 
坏 , 给 收发 双方 带 来 麻烦 。 

基于 SMTP 等 协议 的 电子 邮件 系统 本 身 不 具备 任何 安全 措施 : 邮件 的 发 送 和 接收 
没有 经 过 鉴别 和 确认 ,邮件 内 容 容 易 被 自 改 ,不 怀 好 意 的 人 甚至 可 以 冒名 发 信 而 被 害 者 却 
丝毫 不 知 …… 显 然 , 传 统 的 电子 邮件 不 利于 重要 信息 的 传递 。 电子 邮 件 主 要 有 如 下 一 些 
具体 的 安全 问题 ; 

(1) 垃圾 邮件 ,包括 广告 邮件 .骚扰 邮件 、 连 锁 邮 件 、 违 法 邮件 等 。 垃 圾 邮件 会 增加 网 
络 的 负荷 ,影响 网 络 传输 的 速度 ,占用 邮件 服务 器 的 空间 。 针 对 垃圾 邮件 的 发 送 者 ,不 少 
国家 或 者 邮件 服务 提供 者 都 有 相应 的 措施 和 惩罚 规定 。 一 部 分 邮件 服务 提供 者 还 在 对 外 
接口 处 设置 了 邮件 过 滤器 。 

(2) 诈骗 邮件 ,通常 是 那些 带 有 恶意 的 诈骗 性 邮件 。 利 用 电子 邮件 的 快速 、 便 宜 ,发 
信人 能 迅速 让 大 量 受 害 者 上 当 。 

(3) 邮件 炸弹 , 指 在 短 时 间 内 向 同一 信箱 发 送 大 量 电子 邮件 的 行为 。 在 有 限 的 空间 
里 装 入 过 多 的 邮件 , 当 信箱 不 能 承受 的 时 候 , 自 然 就 会 崩溃 。 

(4) 通过 电子 邮件 传播 的 病毒 通常 用 VBScript 编写 , 且 大 多 数 采用 附件 的 形式 夹带 
在 电子 邮件 中 。 当 收 信人 打开 附件 后 ,病毒 会 查询 他 的 通讯 簿 ,给 其 上 的 所 有 或 部 分 人 发 
信 , 依 此 方式 继续 传播 扩散 。 由 于 借助 Internet, 这 类 病毒 传播 速度 非常 快 。 用 户 可 以 安 
装 防火 墙 型 的 杀毒 软件 ,并 及 时 更 新 病毒 特征 文件 ,来 防范 这 类 病毒 。 

(5) 此 外 还 有 电子 邮件 欺骗 ,利用 电子 邮件 附件 还 可 以 进行 网 络 蠕虫 的 传播 ,电子 邮 
件 本 身 也 可 以 被 用 做 钓鱼 式 攻击 的 用 途 等 。 

电子 邮件 的 安全 需求 应 包括 如 下 几 个 方面 : 

(1) 机 密 性 : 保证 只 有 真正 的 接收 方 能 够 阅读 邮件 ,在 Internet 上 传递 的 电子 邮件 不 
会 被 人 窃取 ,即使 发 错 邮 件 ,接收 者 也 无 法 看 到 邮件 内 容 。 

(2) 完整 性 : 保证 传递 的 电子 邮件 信息 在 传输 过 程 中 不 被 修改 。 

(3) 认证 性 : 保证 信息 的 发 送 者 不 是 冒名 项 蔡 的 , 它 同 信息 完整 性 一 起 可 防止 
伪造 。 

(4) 不 可 否认 性 : 确保 发 信人 无 法 否认 发 过 电子 邮件 。 


电子 邮件 安全 


随 着 电子 邮件 的 爆炸 式 增长 ,其 安全 性 的 需求 也 日 益 增 长 。 目 前 解决 电子 邮件 的 安 
全 可 以 有 多 种 方案 ,因为 邮件 的 单 向 性 和 非 实时 性 ,不 能 通过 建立 隧道 保证 它 的 安全 ,所 
以 本 章 主 要 讨论 对 邮件 本 身 加 密 , 以 保证 邮件 从 发 送 到 接收 的 整个 过 程 的 安全 。 


11.2 安全 电子 邮件 标准 


目前 端 到 端的 安全 电子 邮件 标准 和 协议 主要 有 PEM、PGP 和 S/MIME 等 ,这 些 协议 
和 标准 提供 了 多 种 选择 ,但 是 同时 也 造成 使 用 不 同方 案 的 邮件 缺乏 互 操作 性 。 这 主要 是 
因为 目前 还 没有 一 个 电子 邮件 安全 的 国际 标准 。 


1. PEM (Privacy Enhanced Mail, 增 强 型 邮件 保密 ) 标 准 


PEM 标准 是 由 美国 的 RSA 实验 室 基 于 RSA 和 DES 算法 而 开发 的 安全 电子 邮 
件 的 早期 标准 。PEM 是 在 电子 邮件 的 标准 格式 上 增加 了 加 密 、 认 证 和 密 钥 管理 的 功 
能 。 由 于 PEM 在 MIME 之 前 出 现 , 所 以 它 不 支持 MIME。PEM 依赖 于 一 个 即 存 
的 、 完 全 可 操作 的 PKI, 而 建立 一 个 符合 PEM 规范 的 PKI 需 要 很 长 的 过 程 ,这 大 大 限 
制 了 PEM 的 发 展 。PEM 与 PGP 相 比 ,前 者 像 一 个 OSI 的 标准 ,后 者 则 像 一 个 
Internet 的 软件 包 。 


2. PGP(Pretty Good Privacy, 高 质量 保密 ) 标 准 


PGP 既是 一 个 特定 的 安全 电子 邮件 应 用 ,也 是 一 个 安全 电子 邮件 标准 。PGP 符合 
PEM 的 绝 大 多 数 规范 ,但 不 要 求 PKI 的 存在 。 它 创造 性 地 把 RSA 公 钥 体系 的 方便 和 对 
称 加 密 体 系 的 高 速度 结合 起 来 ,并 且 在 数字 签名 和 密 钥 管理 机 制 上 有 非常 巧妙 的 设计 。 
它 不 仅 功 能 强大 ,速度 很 快 ,而 且 源 代码 公开 。 


3. S/MIME (Secure/Multipurpose Internet Mail Extensions, 安全 /多 用 途 因特网 
邮件 扩展 ) 标 准 


S/MIME 是 在 PEM 的 基础 上 建立 起 来 的 , 它 选择 使 用 RSA 的 PKCS #7 标准 ,与 
MIME 一 起 来 保密 所 有 的 Internet 电子 邮件 。S/MIME 已 成 为 产业 界 广 泛 认可 的 协 
议 ,如 Microsoft 公司 、Netscape 公司 等 都 支持 该 协议 。S/MIME 并 不 是 只 能 用 在 邮件 
传输 上 ,任何 支持 MIME 数据 的 传输 机 制 都 可 以 使 用 它 ,例如 HTTP。S/MIME 还 能 
用 在 专用 网 络 上 ,但 是 它 对 Internet 电子 邮件 最 有 效 。 因 为 Internet 电子 邮件 要 实现 安 
全 的 通道 是 不 可 能 的 ,所 以 就 必须 保证 消息 本 身 是 安全 的 。 

S/MIME 与 PGP 有 如 下 不 同 : 首先 , 它 的 认证 机 制 依赖 于 层次 结构 的 证 书 认 证 
机 构 , 所 有 下 一 级 的 组 织 和 个 人 的 证 书 由 上 一 级 的 组 织 负责 认证 ,整个 信任 关系 基 
本 是 树 状 结构 , 即 Tree of Trust; 其 次 ,S/MIME 将 信件 内 容 加 密 签 名 后 作为 特殊 的 
附件 传送 ,其 证 书 格式 采用 X. 509 规范 ,但 与 SSL 证书 有 一 定 差异 ,支持 的 厂商 也 比 
较 少 。 
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11.3 PGP 标准 


自从 Philip Zimmermann 在 1991 年 发 布 了 PGP1. 0 以 来 ,PGP 取得 了 长 足 的 发 展 。 
PGP 可 以 在 各 种 平台 (DOS/Windows、UNIX、Macintosh 等 ) 上 免费 运行 ,并 且 所 采用 的 
算法 经 过 检验 和 审查 后 被 证 实 为 是 非常 安全 的 ,如 公 钥 加 密 算 法 RSA、DSS 和 Diffie- 
Hellman, 对 称 加 密 算 法 IDEA、3DES 和 CAST-128 以 及 散 列 算法 SHA-1 等 。PGP 的 出 
现 与 应 用 很 好 地 解决 了 电子 邮件 的 安全 传输 问题 , 它 将 对 称 加 密 与 公 钥 加 密 结合 起 来 , 结 
合 了 两 者 的 优点 。PGP 特点 是 : 使 用 单 向 散 列 算法 对 邮件 内 容 进 行 签名 ,以 保证 信件 内 
容 无 法 被 算 改 ;使 用 公 钥 和 对 称 加 密 技术 保证 邮件 内 容 机 密 且 不 可 否认 ; 公 钥 本 身 的 权威 
性 由 发 信人 和 收 信人 所 熟悉 或 信任 的 第 三 方 进 行 签名 认证 ; 它 还 可 以 提供 一 种 安全 的 通 
信和 方式 ,事先 并 不 需要 任何 保密 的 渠道 来 传递 对 称 的 会 话 密 钥 。 另 外 ,需要 强调 的 是 ， 
PGP 加 密 系统 不 仅 可 以 用 于 邮件 的 加 密 , 也 可 用 于 普通 文件 的 加 密 , 还 可 以 用 于 军事 目 
的 ,完全 能 够 实现 电子 邮件 的 安全 性 。 

在 PGP 体系 中 ,“ 信 任 ” 或 是 双方 之 间 的 直接 关系 ,或 是 通过 第 三 者 、 第 四 者 之 间 的 间 
接 关 系 。 但 无 论 哪 种 ,任意 两 方 之 间 都 是 对 等 的 ,整个 信任 关系 构成 网 状 结构 ,就 是 所 谓 
的 Web of Trust。PGP 不 像 PEM 有 严格 的 CA 管理 机 构 , 不 进入 这 个 机 构 就 无 法 使 用 
PEM。 而 PGP 没有 外 部 约束 ,每 个 人 自行 决定 信任 谁 。 如 果 用 户 比 较 小 心 谨慎 ,把 使 用 
PGP 的 用 户 限 制 在 一 定 范围 , 则 PGP 应 比 PEM 更 安全 ,因为 信任 链 是 由 用 户 自 己 维护 
控制 的 。 

PGP 的 特点 是 速度 快 效 率 高 ,而 且 具 有 可 移植 性 ,可 在 多 种 操作 系统 平台 上 运行 ， 
是 一 个 不 可 多 得 的 集 优秀 密 钥 算 法 、 理 想 设计 ,综合 软件 处 理 充 分 兼容 于 一 体 的 开源 密 
码 系统 。 后 来 Zimmermann 组 建 了 OpenPGP 联盟 (http://www. openpgp. org) ,以 促进 
PGP 标准 的 规范 化 。 另 外 ,Linux 下 还 有 PGP 的 开源 版 本 GnuPG, 简 称 GPG ,可 以 从 
http://www. gnupg. org 上 下 载 。 


11.3.1 PGP 的 功能 


PGP 的 主要 功能 如 下 : 完整 性 鉴别 .数字 签名 .压缩 ,机密 性 .电子 邮件 的 兼容 性 以 及 
分 段 和 重 装 。 具 体 工作 原理 如 图 11. 1 所 示 。 

(1) 完整 性 鉴别 : 用 MD5 算法 对 输入 的 任意 长 度 的 报 文 进行 散 列 , 以 512 比特 的 分 
组 进行 处 理 , 产 生 一 个 128 位 长 度 的 报 文摘 要 。 报 文摘 要 唯一 地 对 应 原始 报 文 , 如 果 原 始 
报 文 改 变 并 再 次 进行 散 列 ,将 生成 不 同 的 报 文摘 要 。 运 行 相同 散 列 算法 的 邮件 接收 者 收 
到 的 报 文摘 要 应 该 与 他 对 收 到 的 邮件 明文 进行 散 列 得 到 的 散 列 值 相 匹配 ;否则 , 报 文 是 不 
完整 的 。 因 此 , 散 列 函数 能 用 来 检测 报 文 的 完整 性 ,保证 报 文 从 建立 开始 到 收 到 始终 没有 
被 破坏 和 改变 。 用 于 完整 性 鉴别 的 几 种 常见 的 算法 有 MD5、SHA-1、RIPEMD -160 和 
HMAC, 在 PGP 系统 中 使 用 的 算法 是 MD5 。 

(2) 数字 签名 : PGP 中 的 数字 签名 是 由 RSA 算法 来 实现 的 。 发 送 方 A 要 传送 文件 
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_ 随机 生成 的 B 的 RSA 
拼接 会 话 密 钥 | 公 钥 PUs 
A 的 RSA Se 本 
私 钥 PRA Ks RSA 1 
A 的 | ASCTI 文 本 


明文 P 至 Internet 
=~|MD5| -RSA -Gy 二 -| 2 LAIDEA ~) base64 


| | 


完整 性 鉴别 ”数字 签名 压缩 加 密 (速度 ) 机 密 性 编码 
图 11.1 PGP 的 工作 原理 


给 接收 方 B, 他 们 互相 知道 对 方 的 公 钥 。A 就 用 B 的 公 钥 加 密 文件 后 发 送 ,B 收 到 后 就 可 
以 用 自己 的 私 钥 解 密 得 出 A 发 送 的 明文 。 由 于 没有 别人 知道 B 的 私 钥 , 所 以 即使 是 A 本 
人 也 无 法 解密 发 送 的 明文 ,这 就 解决 了 文件 机 密 性 的 问题 。 

另 一 方面 由 于 每 个 人 都 知道 B 的 公 钥 ,他 们 都 可 以 给 B 发 送 文件 ,那么 B 就 无 法 确 
信和 是 不 是 A 发 送 过 来 的 文件 。 这 时 可 以 用 发 送 方 A 的 RSA 私 钥 PRA 对 要 发 送 明 文 的 
散 列 进行 加 密 , 即 使 用 所 谓 的 数字 签名 技术 ,接收 方 只 能 用 发 送 方 的 公 钥 才能 解 开 , 实 现 
了 发 送 方 对 所 发 送 报 文 的 不 可 否认 性 ,还 保证 了 数据 的 完整 性 ,同时 实现 签名 的 速度 还 比 
较 快 。 利 用 数字 签名 在 一 定 程度 上 认证 了 发 送 方 的 身份 。 

(3) 压缩 : 在 PGP 中 ,是 对 未 压缩 的 消息 签名 ,然后 压缩 以 便 将 来 验证 时 使 用 。 如 果 
是 将 压缩 的 消息 进行 签名 ,那么 在 后 来 的 验证 中 就 要 对 验证 签名 得 出 的 结果 进行 动态 解 
压缩 ,因为 算法 很 不 稳定 , 现 有 的 PGP 解密 操作 就 变 得 很 困难 。 

PGP 内 核 使 用 PKZIP 算法 对 加 密 前 的 明文 进行 压缩 。 这 种 预 处理 ,一 方面 减少 了 
网 络 传输 时 间 和 磁盘 空间 。 另 一 方面 ,明文 经 过 压缩 实际 上 是 经 过 一 次 变换 ,变换 后 
减少 了 明文 中 上 下 文 的 关系 ,对 攻击 的 抵御 能 力 更 强 。 此 外 , 若 先 加 密 后 压缩 ,压缩 效 

(4) 机 密 性 : 用 接收 方 B 的 公开 密 钥 PUs 对 随机 生成 的 对 称 的 会 话 密 钥 Ks 进行 加 
密 , 同 时 以 Ks 作为 密 钥 用 IDEA 算法 对 压缩 后 的 明文 进行 加 密 , 从 而 实现 了 电子 邮件 的 
机 密 性 。 这 种 链 式 加 密 方式 (数字 信封 ) 既 有 RSA 体系 的 保密 性 ,又 有 IDEA 算法 的 快捷 
性 。 从 而 既 保证 了 消息 自身 的 安全 性 ,又 安全 地 传递 了 IDEA 密 钥 ,可 谓 是 一 举 两 得 。 同 
时 Ks 是 发 送 方 随机 产生 的 ,不 需要 和 接收 方 协商 ;而 且 Ks 的 偶然 泄露 不 影响 其 他 次 密 
文 传递 的 安全 。 

用 接收 方 B 的 公 钥 PUs 对 随机 生成 的 密 钥 Ks 进行 加 密 保证 了 只 有 接收 方 B 才能 
得 到 密 钥 Ks ,解决 了 对 称 加 密 算 法 中 安全 传递 密 钥 比 较 困难 的 问题 。 这 里 使 用 了 公开 加 
密 算 法 RSA ,虽然 RSA 算法 较 慢 ,但 这 里 只 是 对 较 短 的 密 钥 Ks 加 密 ,并 不 影响 整个 
PGP 加 密 的 速度 。 同 时 用 随机 生成 的 密 钥 Ks 对 拼接 压缩 后 的 明文 用 IDEA 算法 进行 加 
密 , 这 里 之 所 以 选择 对 称 加 密 算 法 IDEA 进行 加 密 是 出 于 速度 上 的 考虑 ,如 果 用 RSA 算 
法 加 密 , 一 旦 待 加 密 的 数据 P1. Z 比较 长 ,RSA 加 密 的 时 间 就 会 很 长 ,从 而 影响 整个 PGP 
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系统 执行 的 速度 。 

(5) 电子 邮件 的 兼容 性 : 为 了 提供 文件 应 用 的 透明 性 ,加 密 的 报 文 可 以 使 用 base64 
转换 算法 转换 成 ASCII 字符 串 。 当 使 用 PGP 时 ,至 少 传输 报 文 的 一 部 分 需要 加 密 ,因此 
部 分 或 全 部 的 结果 报 文 由 任意 8 比特 的 数据 流 组 成 。 但 由 于 很 多 的 文件 系统 只 允许 使 用 
ASCII 字符 组 成 的 报 文 ,所 以 PGP 提供 了 base64 转换 方案 ,将 原始 二 进 制 流转 化 为 可 打 
印 的 ASCII 文本 , 即 实 现 了 电子 邮件 的 兼容 性 。 

在 实际 中 ,使 用 base64 转换 将 导致 消息 大 小 增加 33%。 但 幸运 的 是 ,会 话 密 钥 和 消 
息 的 签名 部 分 都 相当 紧凑 ,使 得 原始 消息 将 被 压缩 。 实际 上 ,压缩 的 效果 不 仅 可 以 补偿 
base64 转换 导致 的 膨胀 ,还 可 以 大 大 减少 占有 的 空间 。 

(6) 分 段 和 重 装 : 文件 设施 经 常 受 限于 最 大 报 文 长 度 (50000 字 节 ) 的 限制 。 为 了 满 
足 最 大 报 文 长 度 的 限制 ,PGP 完成 报 文 的 分 段 和 重新 装配 。 分 段 是 在 所 有 其 他 的 处 理 
(包括 base64 转换 ) 完 成 后 才 进 行 的 ,因此 ,会 话 密 钥 部 分 和 签名 部 分 只 在 第 一 个 报 文 段 
的 开始 位 置 出 现 一 次 。 在 接收 端 ,PGP 必须 剥 掉 所 有 的 电子 邮件 首部 ,才能 重新 装配 成 
原来 的 完整 分 组 。 


11.3.2 PGP 消息 格式 及 收发 过 程 


根据 PGP 的 工作 原理 ,可 以 进一步 讨论 PGP 传递 的 消息 格式 ,如 图 11. 2 所 示 。 消 
息 由 报 文部 分 签名 (可 选 ) 和 会 话 密 钥 ( 可 选 )3 部 分 组 成 。 


内 容 操作 
全 话 密 多 | | - 接收 者 的 公 铀 标识 Fuw__ | 
人 会 话 遍 铀 [KJ) fam 
时 间 蕉 t t+ 
签名 i 
消息 摘要 EprA 
1 base64 
[| Zp | Exs 
| 
报 文 
数据 
T ?了 了 


图 11.2 PGP 消息 的 格式 


(1) 报 文 包括 实际 存储 或 传输 的 数据 如 文件 名 、 消 息 产 生 的 时 间 蕉 等 。 
(2) 签名 部 分 包括 产生 签名 的 时 间 截 、 消 息 摘要 、 作 为 消息 的 16 位 校 验 序列 的 消息 
摘要 的 头 两 个 字 节 发送 者 的 公 钥 标识 (从 而 标识 了 加 密 消息 摘要 的 私 钥 ) 。 
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报 文 和 可 选 的 签名 可 以 使 用 ZIP 压缩 后 再 用 会 话 密 钥 加 密 。 

(3) 会 话 密 钥 部 分 包括 会 话 密 钥 本 身 和 标识 发 送 方 加 密会 话 密 钥 时 所 使 用 的 接收 方 
的 公 钥 标识 。 

整个 消息 使 用 base64 转换 编码 。 

使 用 PGP 系统 对 电子 邮件 进行 加 密 和 解密 的 过 程 : 当 发 送 者 利用 PGP 加 密 一 段 明 
文 时 ,PGP 首先 算出 明文 散 列 值 ,然后 进行 数字 签名 ,接着 压缩 明文 与 数字 签名 拼接 的 报 
文 , 然 后 PGP 生成 一 个 随机 的 会 话 密 钥 ,采用 对 称 加 密 算法 (例如 DES IDEA、AES 等 ) 
加 密 刚 才 压 缩 后 的 明文 ,产生 密 文 。 然 后 用 接收 者 的 公 钥 加 密 刚 才 的 会 话 密 钥 ,并 与 密 文 
拼接 ,经 过 编码 后 传输 给 接收 方 。 接 收 方 首先 用 自己 的 私 钥 解 密 , 获 得 会 话 密 钥 ,最 后 用 
这 个 密 钥 解密 密 文 ,再 通过 匹配 消息 的 散 列 值 分 析 消 息 是 否 具 有 完整 性 。 从 而 保证 了 电 
子 邮件 的 机 密 性 、 完 整 性 ,认证 性 和 不 可 否认 性 。 


11.3.3 PGP 密 钥 的 发 布 和 管理 


PGP 的 创意 有 一 半 是 在 链 式 加 密 上 , 另 一 半 则 在 PGP 的 密 钥 管理 上 。 一 个 成 熟 的 
加 密 体 系 必 然 要 有 一 个 配套 的 成 熟 的 密 钥 管理 机 制 。 公 钥 加 密 体制 的 提出 就 是 为 了 解决 
对 称 加 密 体制 中 密 钥 分 配 难以 保密 的 缺点 。 在 PGP 中 公 钥 的 发 布 不 存在 泄露 的 问题 ,但 
是 仍然 存在 其 他 安全 性 问题 ,例如 公 钥 被 算 改 ( 公 钥 加 密 体制 中 最 大 的 漏洞 )。 

例如 , 甲 要 给 乙 发 送 一 份 电子 邮件 , 甲 从 BBS 上 下 载 了 乙 的 公 钥 ,并 用 它 加 密 邮件 发 
送 给 了 乙 。 遗 憾 的 是 , 甲 和 乙 都 不 知道 , 另 一 个 叫 丙 的 用 户 潜入 BBS, 用 自己 的 公 钥 替换 
了 乙 的 公 钥 。 于 是 丙 就 可 以 截获 邮件 ,并 用 他 手中 的 私 钥 来 解密 甲 发 送 给 乙 的 信 , 甚 至 它 
还 可 以 用 乙 真 正 的 公 钥 来 转发 甲 给 乙 的 信 , 这 样 谁 都 不 会 起 疑心 。 他 如 果 想 改动 甲 给 乙 
的 信也 没 问题 。 更 有 甚 者 , 丙 还 可 以 伪造 乙 的 签名 给 甲 或 其 他 人 发 信 , 因 为 大 家 手中 乙 的 
公 钥 是 伪造 的 ,所 以 会 以 为 真 的 是 乙 的 来 信 。 这 样 丙 就 成 功 地 对 甲 和 乙 实 施 了 中 间 人 
攻击 。 

所 以 公 钥 加 密 体制 有 效 的 前 提 条 件 是 : 用 户 必须 有 办 法 确信 他 所 拿 到 的 公 钥 属于 它 
看 上 去 属于 的 那个 人 人。 防止 伪 造 公 钥 这 种 情况 出 现 的 最 好 办 法 是 避免 让 任何 人 算 改 公 
钥 ,PGP 采用 了 公 钥 介绍 机 制 经 过 介绍 人 私 钥 签字 的 用 户 公 钥 ( 即 相当 于 该 用 户 的 
数字 证 书 ) 可 以 上 载 到 网 上 供 人 使 用 , 没 人 可 以 算 改 它 而 不 被 发 现 。 那 么 如 何 能 安全 地 得 
到 介绍 人 的 公 钥 呢 ? 因为 介绍 人 的 公 钥 也 可 能 是 假 的 ,但 就 要 求 作假 者 参与 这 整个 过 程 ， 
还 要 策划 很 久 ,一 般 不 可 能 。 

例如 ,A 想得到 另 一 个 用 户 C 的 公开 密 钥 , 于 是 A 从 某 些 渠 道 (如 FTP 服务 器 ) 获 得 
了 该 密 钥 。 但 是 A 如 何 知道 这 个 C 的 公 钥 不 是 别人 假冒 的 呢 ? A 可 以 直接 去 问 本 人 ( 例 
如 通过 电话 ) ,但 A 可 能 根本 就 不 认识 C, 无 法 询问 。 如 果 这 个 公 钥 具有 介绍 人 B 的 签 
名 , 则 A 可 以 确信 它 的 真实 性 。 因 为 B 向 A 保证 这 个 公 钥 是 属于 C 的 ,而 A 对 B 及 其 担 
保 是 信任 的 。 

在 公开 加 密 体制 中 ,利用 * 介 绍 人 ”所 做 的 公 钥 验证 提供 的 就 是 信任 的 传递 关系 。 但 
是 在 PGP 中 信任 是 不 可 以 完全 传递 的 。A 信任 B、B 信任 C, 并 不 代表 A 也 要 信任 C。 于 
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是 PGP 定义 了 信任 的 传递 方式 ,例如 一 个 不 太 被 信任 的 人 对 一 个 公 钥 进行 了 签名 ,该 公 
钥 就 可 能 具有 更 低 的 信任 级 别 。 

为 了 防止 出 现 介绍 人 的 公 钥 被 假冒 的 情况 ,PGP 也 支持 使 用 认证 权威 CA( 由 一 个 被 
普遍 信任 的 、 非 个 人 控制 的 组 织 或 政府 机 构 担 当 ) 作 为 “介绍 人 ”, 每 个 由 他 签字 的 公 钥 都 
被 认为 是 真实 的 ,大 家 只 要 有 他 的 公 钥 即 可 。 认 证 这 个 人 的 公 钥 方便 ,因为 他 的 公 钥 流传 
广泛 ,要 假冒 他 的 公 钥 很 困难 ,这 就 解决 了 “ 先 有 鸡 还 是 先 有 和 蛋 ” 的 问题 。 

男 一 方面 , 私 钥 不 存在 被 自 改 的 问题 ,但 存在 泄露 的 问题 。RSA 的 私 钥 是 一 个 很 长 
的 数字 ,用 户 不 可 能 将 它 记 住 。PGP 的 办 法 是 让 用 户 为 随机 生成 的 RSA 私 钥 指定 一 个 
口令 ,只 有 用 户 给 出 口令 才能 将 私 钥 释 放出 来 使 用 。 私 钥 的 安全 性 问题 实际 上 首先 要 对 
用 户口 令 保密 ,当然 私 钥 文件 本 身 失 密 也 很 危险 。 

在 计算 机 系统 中 具体 实现 时 , 当 用 户 生成 私 钥 时 ,PGP 会 要 求 用 户 输入 一 个 口令 , 然 
后 使 用 MD5 生成 口令 的 一 个 摘要 ,把 这 个 摘要 作为 IDEA 算法 的 密 钥 加 密 用 户 的 私 钥 ， 
然后 存放 在 文件 中 。 

每 当 用 户 需 要 使 用 私 钥 时 ,PGP 会 再 次 要 求 用 户 输 入 口令 ,由 口令 重新 生成 IDEA 
的 密 钥 ,再 解 出 文件 中 用 户 的 私 钥 。 在 每 次 用 完 口令 后 ,PGP 会 立即 删除 关于 口令 的 各 
种 信息 。 通 过 这 种 方法 ,系统 中 就 再 不 需要 保存 关键 性 的 IDEA 密 钥 。 


11.3.4 PGP 的 安全 性 分 析 


PGP 本 身 就 是 一 个 数据 安全 产品 , 它 会 有 什么 安全 性 问题 呢 ? 但 正如 PGP 的 作者 
Philip Zimmermann 在 PGP 文档 中 说 道 :“ 没 有 哪个 数据 安全 系统 是 牢 不 可 破 的 ,PGP 
也 不 例外 ”。 我 们 研究 它 的 安全 漏洞 就 是 为 了 让 大 家 知道 哪些 因素 会 降低 PGP 的 安全 
性 ,以 及 如 何 预防 。 

PGP 存在 的 漏洞 有 : 口令 或 私 钥 的 泄密 、 公 钥 被 算 改 .删除 的 文件 被 人 恢复 、 病 毒 和 
特洛伊 木马 ,物理 安全 受到 侵犯 .电磁 泄露 .暴露 于 多 用 户 系 统 中 ,信息 量 分 析 , 甚 至 会 有 
可 能 被 直接 从 密码 分 析 的 角度 被 解密 (这 当然 是 可 能 性 最 小 的 了 )。 另 外 , 密 钥 作废 是 
PGP 最 薄弱 的 环节 ,很 难 确保 没有 人 使 用 一 个 已 损坏 的 密 钥 。 

下 面 先 分 别 看 看 PGP 加 密 系统 的 4 个 关键 部 分 的 安全 性 问题 。PGP 是 个 杂 合算 
法 ,所 谓 “ 杂 合 ”, 体 现在 它 包 含 一 个 对 称 加 密 算法 (IDEA) .一 个 公开 加 密 算法 (RSA) 一 
个 单 向 散 列 函数 (MD5) 以 及 一 个 随机 数 产生 器 (从 用 户 击 键 频率 产生 伪 随 机 数 序列 的 种 
子 )。 每 种 算法 都 是 PGP 不 可 分 割 的 组 成 部 分 ,对 它们 各 有 不 同 的 攻击 方式 。 


1. IDEA 安全 性 分 析 


IDEA 是 PGP 密 文 实际 上 的 加 密 算法 ,对 于 采用 直接 攻击 法 的 解密 者 来 说 ,IDEA 是 
PGP 密 文 的 第 一 道 防 线 。IDEA 比 同时 代 的 算法 都 要 坚固 ,直到 目前 没有 任何 关于 
IDEA 的 密码 学 分 析 攻 击 法 的 成 果 发 表 , 所 以 还 没有 办 法 对 IDEA 进行 密码 学 分 析 , 因 此 
对 IDEA 的 攻击 方法 就 只 有 “ 穷 举 攻击 ”这 一 种 方法 了 。 

IDEA 的 密 钥 长 度 是 128 位 ,用 十 进 制 表示 所 有 可 能 的 密 钥 个 数 将 是 一 个 天 文 数字 。 
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为 了 试探 出 一 个 特定 的 密 钥 ,平均 要 试探 一 半数 量 的 可 能 密 钥 。 即 使 你 用 了 十 亿 台 每 秒 
钟 能 够 试探 十 亿 个 密 钥 的 计算 机 ,所 需 的 时 间 也 比 目 前 所 知 的 宇宙 的 年 龄 要 长 ,况且 现在 
制造 出 每 秒 试探 十 亿 个 密 钥 的 计算 机 还 是 不 可 能 的 。 因 此 对 IDEA 进行 明文 攻击 也 是 不 
可 能 的 ,更 何况 从 PGP 的 原理 看 一 个 IDEA 的 密 钥 失 密 只 会 泄露 一 次 加 密 的 信息 ,对 用 
户 最 重要 的 密 钥 一 一 RSA 密 钥 对 的 保密 性 没有 什么 影响 。 

那么 看 来 IDEA 是 没有 什么 问题 了 ,因为 你 既 不 能 从 算法 中 找到 漏洞 又 没 法 明文 攻 
击 。 但 是 漏洞 还 是 有 的 ,Netscape 的 安全 性 风波 就 是 因为 忽视 了 密 钥 随 机 生成 的 问题 ， 
使 得 随机 密 钥 生成 算法 生成 的 密 钥 很 有 “规律 ", 而 且 远 远 没 有 均 布 到 整个 密 钥 空 间 去 。 
这 个 漏洞 就 是 随机 产生 的 IDEA 密 钥 没 办 法 真正 随机 。 


2. RSA 安全 性 分 析 


RSA 有 可 能 存在 一 些 密码 学 方面 的 缺陷 , 随 着 数论 的 发 展 也 许 会 找到 一 种 耗 时 以 多 
项 式 方式 增长 的 分 解 算 法 。 不 过 目前 这 还 只 是 展望 ,甚至 连 发 展 的 方向 都 还 没有 找到 。 
有 三 种 事物 的 发 展会 威胁 到 RSA 的 安全 性 : 分 解 技术 、 计 算 机 能 力 的 提高 和 计算 机 造价 
的 降低 。 特 别 是 第 一 条 对 RSA 的 威胁 最 大 ,因为 只 要 大 数 分 解 的 问题 不 解决 ,做 乘法 总 
是 比分 解 因数 快 得 多 ,计算 机 能 力 强 大 了 可 以 通过 加 长 密 钥 来 防御 ,因为 那 时 加 密 也 会 快 
得 多 。 

对 RSA 算法 的 攻击 有 计时 攻击 、 公 共 模 数 攻 击 、 小 指数 攻击 、 选 择 密 文 攻击 等 。 此 
外 ,由 于 公 钥 环 的 重要 性 和 对 它 的 依赖 性 ,PGP 也 受到 许多 针对 公 钥 环 的 攻击 。 

在 PGP 中 ,每 个 公 钥 都 由 一 个 可 信任 的 第 三 方 签名 过 后 , 才 认 为 是 可 信 的 , 且 每 个 公 
钥 环 在 加 入 新 的 公 钥 时 都 必须 被 PGP 公 钥 环 检查 ,然后 标记 它们 是 可 信 的 。 那 么 对 密 钥 
环 的 攻击 可 有 如 下 几 个 方面 : 

(1) 公 钥 环 签名 的 攻击 : 攻击 者 通过 修改 公 钥 环 中 的 签名 并 标记 它 是 已 检查 过 的 ， 
使 系统 不 再 去 检查 它 。 

(2) 改 密 钥 有 效 位 : 由 于 PGP 对 密 钥 设置 一 个 有 效 位 , 当 到 达 一 个 密 钥 的 新 签名 时 ， 
PGP 计算 该 密 钥 的 有 效 位 ,然后 在 公 钥 环 中 缓存 这 个 有 效 位 。 一 个 攻击 者 可 能 在 公 钥 环 
中 修改 这 一 位 ,从 而 使 用 户 相信 一 个 无 效 的 密 钥 是 有 效 的 。 

(3) 修改 可 信任 的 第 三 方 : 由 于 可 信任 的 第 三 方 的 公 钥 也 缓存 在 公 钥 环 中 ,如 果 可 
信任 的 第 三 方 为 一 个 无 效 的 密 钥 签名 就 可 能 使 PGP 相信 这 个 密 钥 的 有 效 性 。 如 果 一 
个 密 钥 被 修改 为 完全 受托 的 介绍 人 ,那么 用 这 个 密 钥 签名 的 任何 密 钥 都 将 被 信任 为 有 
效 的 。 因 此 ,攻击 者 如 果 用 一 个 修改 过 的 密 钥 为 另 一 个 密 钥 签名 ,就 会 使 用 户 相信 他 
是 有 效 的 。 

公 钥 环 中 这 些 位 不 仅 在 公 钥 中 缓存 ,而 且 没有 任何 保护 。 任 何 读 过 PGP 源 代码 而 且 
能 够 访问 公 钥 环 的 人 都 可 以 使 用 一 个 二 进 制 文件 编辑 器 修改 其 中 的 任何 一 位 ,而 密 钥 环 
所 有 者 却 无 法 意识 到 这 个 改变 。 现 在 的 PGP 中 也 提供 了 一 种 可 以 重新 检查 公 钥 环 中 的 
密 钥 的 方法 ,这 是 比较 幸运 的 ,但 这 样 也 并 不 能 完全 杜绝 其 中 的 篡改 问题 。 
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3. MDS 安全 性 分 析 


MD5 是 一 种 在 PGP 中 被 用 来 单 向 变换 用 户口 令 和 对 消息 签名 的 单 向 散 列 算法 。 对 
单 向 散 列 算法 的 直接 攻击 可 以 分 为 普通 直接 攻击 和 “生日 攻击 ”。 

(1) 对 MD5 的 普通 直接 攻击 

所 谓 直接 攻击 又 叫 穷 举 攻击 。 攻 击 者 为 了 找到 一 份 和 原始 明文 m 散 列 结果 相同 的 
明文 m, 就 是 及 (m') 二 HQm)。 普 通 直接 攻击 ,顾名思义 就 是 穷 举 可 能 的 明文 去 产生 一 
个 和 互 (m) 相 同 的 散 列 结果 。 对 MD5 来 说 散 列 结 果 为 128 比特 ,就 是 说 ,如 果 攻 击 者 有 
一 台 每 秒 尝试 1000000000 条 明文 的 机 器 需要 算 约 10” 年 , 兴 许 会 同时 发 现 m 本 身 。 

(2) 对 MD5 的 生日 攻击 

生日 攻击 实际 上 只 是 为 了 找到 两 条 能 产生 同样 散 列 结果 的 明文 。 所 谓 生日 攻击 实际 
上 只 是 用 概率 来 指导 散 列 冲突 的 发 现 ,对 于 MD5 来 说 ,如 果 尝 试 2% 条 明文 ,那么 它们 之 
间 至 少 有 一 对 发 生 冲突 的 概率 就 是 50%。 仅 此 而 已 ,从 当今 的 科技 能 力 来 说 , 它 也 是 不 
大 可 能 的 。 一 台 上 面谈 到 的 机 器 平均 需要 运行 585 年 才能 找到 一 对 ,而 且 并 不 能 马上 变 
成 实际 的 攻击 成 果 。 

MD5 曾 一 度 被 认为 是 非常 安全 的 ,但 是 我 国 山东 大 学 的 王小云 教授 发 现 的 散 列 值 碰 撞 
方法 可 以 很 快 地 找到 不 同 明文 的 相同 MD5 值 ,使 得 两 个 文件 可 以 产生 相同 的 “数字 指纹 ”。 


4. 随机 数 发 生 器 安全 性 分 析 


众所周知 ,计算 机 是 无 法 产生 真正 的 随机 数 的 。PGP 使 用 了 两 个 伪 随 机 数 发 生 器 ， 
一 个 是 ANSIX9. 17 发 生 器 , 另 一 个 是 从 用 户 击 键 的 时 间 和 序列 中 计算 出 具有 高 炉 值 的 
随机 数 ,输入 的 焙 越 大 ,输出 的 随机 数 的 入 也 就 越 大 。ANSIX9. 17 使 用 三 重 DES 来 产生 
随机 数 种 子 ,RANDSEED. BIN 文件 存放 利用 用 户 击 键 信息 产生 的 随机 数 种 子 。 

RANDSEED. BIN 文件 采用 了 和 待 加 密 文件 一 样 的 加 密 算 法 加 密 , 用 来 防止 他 人 从 
此 文件 中 分 析出 实际 的 加 密 密 钥 ,因此 对 RANDSEED. BIN 文件 的 保护 和 对 公 钥 和 私 钥 
环 的 保护 一 样 是 非常 重要 的 ,因为 一 旦 攻击 者 得 到 了 加 密 密 钥 就 很 可 能 较 容易 地 计算 出 
待 加 密 文件 。 

此 外 ,在 PGP 加 密 体系 中 ,除了 上 面 4 个 具体 的 加 密 算法 存在 安全 性 问题 外 ,在 系统 
的 具体 实现 中 还 会 存在 如 下 安全 问题 : 

(1) 公开 密 钥 的 冒充 。PGP 中 的 公 钥 是 永久 有 效 的 ,这 虽然 简化 了 管理 ,也 增加 了 时 
充 的 可 能 性 。 由 于 缺乏 有 效 的 CRL 机 制 , 公 钥 在 各 个 用 户 之 间 的 同步 性 较 差 , 容 易 给 攻 
击 者 造成 机 会 。 因 此 PGP 主要 适用 于 信任 用 户 之 间 的 安全 通信 。 

(2) 猜测 口令 。 对 于 PGP 而 言 ,存在 字典 攻击 口令 的 可 能 性 还 是 较 大 的 : 首先 ,对 于 
公开 加 密 机 制 , 攻 击 者 很 容易 获得 明文 / 密 文 对 ,可 以 对 攻击 结果 进行 测试 ;其 次 因为 
PGP 的 源码 是 公开 的 ,所 以 攻击 者 可 以 使 用 自己 编写 的 对 私 钥 破 解 的 程序 以 加 快 连续 攻 
击 的 速度 ;最 后 ,用 户 常常 使 用 容易 记忆 的 口令 ,这 使 字典 攻击 的 成 功率 大 增 。 

(3) 改变 主机 时 间 。 改 变 主机 时 间 对 于 破解 PGP 本 身 并 无 帮助 ,但 是 可 以 使 某 些 恶 
意 用 户 对 他 们 的 行为 进行 否认 。PGP 的 签名 可 以 使 签名 者 不 能 否认 ,但 是 PGP 不 能 保 


188| 


电子 邮件 安全 


证 用 户 不 会 改变 自己 主机 的 时 间 , 以 便 否 认 签名 的 时 间 。 

(4) 多 用 户 系统 中 的 安全 问题 。PGP 的 实现 中 已 经 考虑 到 非常 具体 的 安全 问题 : 
PGP 使 用 过 的 每 一 个 内 存 区 ,都 会 把 该 区 清 零 ;PGP 使 用 过 的 每 一 个 临时 文件 ,都 会 全 部 
清 零 以 后 再 删除 。 如 果 在 多 用 户 系统 中 ,PGP 也 无 法 防止 其 他 用 户 访问 临时 文件 ,获得 
加 密 的 私 钥 文 件 。 而 且 在 多 用 户 系统 中 ,键盘 和 CPU 之 间 的 链 路 很 可 能 是 不 安全 的 。 


习题 


1. 电子 邮件 主要 有 哪些 具体 的 安全 问题 ? 

2. 叙述 电子 邮件 的 安全 需求 包含 的 4 个 主要 方面 。 

3. 有 哪 3 个 主要 的 电子 邮件 安全 标准 ? 分 别 加 以 简单 阐述 。PGP 与 另外 两 个 标准 
有 何不 同 ? 

4. 比较 Web of Trust 和 Tree of Trust 的 优 缺 点 。 

5. PGP 的 加 密 过 程 和 解密 过 程 是 如 何 工作 的 ? 其 中 各 自 使 用 了 哪些 安全 技术 ? 
PGP 能 实现 6 种 网 络 信息 安全 需求 中 的 哪 几 种 ? 

6. PGP 的 创造 性 体现 在 哪 几 个 方面 ? 

7. 以 一 个 简单 的 实例 说 明 公 钥 介绍 机 制 是 如 何 实现 的 。 

8. 讨论 PGP 是 如 何 实现 密 钥 管理 的 。 

9. 为 什么 PGP 在 加 密 明文 之 前 先 压 缩 它 ? 反之 有 何不 好 ? 

10. 在 PGP 中 .哪儿 个 算法 实际 上 都 起 到 对 明文 P 的 “混淆 "作用 ? 

11. 在 PGP 中 如 何 是 使 用 RSA 算法 进行 加 密 和 签名 并 保证 PGP 的 执行 效率 的 ? 

12. 在 PGP 中 是 如 何 保 证 发 送 方 随机 产生 对 称 的 会 话 密 钥 被 安全 地 传递 给 接收 方 ， 
从 而 接收 方 用 它 来 解密 发 送 来 的 密 文 ? 

13. 请 从 网 上 下 载 并 安装 免费 的 PGP 软件 ,生成 属于 自己 的 密 钥 对 ,并 且 实 现 以 下 3 
个 功能 : 

(1) 对 邮件 进行 加 密 和 签名 。 

(2) 对 邮件 只 签名 而 不 加 密 。 

(3) 对 邮件 只 进行 加 密 。 
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第 12 章 Web 安全 


12.1 Web 安全 威胁 


随 着 Internet 的 日 益 普及 ,人 们 对 其 依赖 性 也 越 来 越 强 , 它 已 逐渐 成 为 人 们 生活 中 不 
可 缺少 的 一 个 部 分 。 但 是 ,Internet 是 一 个 面向 大 众 的 开放 系统 ,对 于 信息 的 保密 和 系统 
安全 的 考虑 并 不 完备 。 这 主要 由 如 下 几 个 方面 原因 引起 : Web 服务 是 动态 交互 的 ; Web 
服务 使 用 广泛 而 且 信誉 非常 重要 ; Web 服务 器 难以 配置 ,底层 软件 异乎 寻常 地 复杂 ,会 隐 
藏 众多 安全 漏洞 ;编写 和 使 用 Web 服务 的 用 户 安全 意识 相对 薄弱 。 所 以 Internet 上 的 攻 
击 与 破坏 事件 层出不穷 ,人 们 越 来 越 意识 到 这 种 情况 ,因此 安全 Web 服务 应 运 而 生 。 

表 12.1 总 结 了 在 使 用 Web 时 要 面临 的 一 些 安全 威胁 与 对 策 。Web 安全 威胁 存在 
着 不 同 的 分 类 方法 ,一 种 分 类 方式 是 将 它们 分 成 主动 攻击 与 被 动 攻击 。 

表 12.1 Web 安全 威胁 与 对 策 


威 。 腑 后 困 对 策 
修改 用 户 数据 
特洛伊 木马 信息 孟 失 数据 的 校 验 和 
完整 性 机 器 暴 吉 站 
内 存 修改 名 呈 6 攻击。 | 完整 性 校 验 码 
修改 传输 的 信息 要 
网 络 监听 
窃取 服务 器 数据 信息 暴露 
负 守 洗 窃取 浏览 器 数据 泄露 机 密 信息 基本 逢 法 ,中 代理 
窃取 网 络 配置 信息 
中 断 用 户 连接 i 
拒绝 服务 二 干扰 难以 防范 
占 满 硬盘 或 耗 尽 内 存 a 
攻击 DNS 服务 器 
本 冒充 合法 用 户 非法 用 户 进入 系统 Ey 
认证 鉴别 et ee 加 密 和 身份 认证 技术 


另 一 种 分 类 方式 是 依照 Web 访问 的 结构 ,可 以 将 Web 安全 威胁 分 为 3 类 对 Web 服 
务 器 的 安全 威胁 、 对 Web 浏览 器 的 安全 威胁 和 对 通信 信道 的 安全 威胁 。 服 务 器 和 浏览 器 
的 安全 问题 是 计算 机 系统 自身 的 安全 性 问题 ,通信 信道 的 安全 性 则 是 本 章 讨论 的 重点 。 


12.1.1 对 Web 服务 器 的 安全 威胁 
对 企图 破坏 或 非法 获取 信息 的 人 来 说 ,HTTP 服务 器 、 数 据 库 服 务 器 等 都 可 能 存在 


漏洞 ,有 很 多 弱点 可 被 利用 。Web 服务 内 容 越 丰富 ,功能 越 强 大 ,包含 错误 代码 的 概率 就 
越 高 ,有 安全 漏洞 概率 就 越 高 。 


大 多 数 系统 上 所 运行 的 HTTP 服务 可 以 设置 在 不 同 的 权限 下 和 运行: 高 权限 下 提供 
了 更 大 的 灵活 性 ,允许 程序 执行 所 有 指令 ,并 可 不 受 限制 地 访问 系统 的 各 个 部 分 (包括 高 
敏感 的 特权 区 域 ) ; 低 权限 下 在 所 运行 程序 的 周围 设置 了 一 层 逻 辑 栅栏 ,只 允许 它 运行 部 
分 指令 和 访问 系统 中 不 很 敏感 的 数据 区 。 大 多 数 情况 下 ,HTTP 服务 只 需要 运行 在 低 权 
限 下 。 

Web 服务 器 的 数据 库 中 会 保存 一 些 有 价值 的 信息 或 隐私 信息 ,如果 被 更 改 或 泄露 会 
造成 无 法 弥补 的 损失 : 如 果 有 人 得 到 数据 库 用 户 认证 信息 ,他 就 能 伪装 成 合法 的 用 户 来 
下 载 数 据 库 中 保密 的 信息 ;隐藏 在 数据 库 系 统 里 的 特洛伊 木马 程序 还 可 通过 将 数据 权限 
降级 来 泄露 信息 。 

相 比 数据 库 的 问题 ,CGI 程序 可 能 出 现 的 漏洞 很 多 ,而 被 攻破 后 所 能 造成 的 威胁 也 更 
大 。 程 序 设计 人 员 的 一 个 简单 的 错误 或 不 规范 的 编程 就 可 能 为 系统 增加 一 个 安全 漏洞 。 
一 个 故意 放置 的 有 恶意 的 CGI 程序 能 够 自由 访问 系统 资源 ,使 系统 失效 、 删 除 文件 或 查 
看 顾客 的 保密 信息 (包括 用 户 名 和 口令 )。 


12.1.2 对 Web 浏览 器 的 安全 威胁 


最 早 的 Web 页 面 是 静态 的 , 它 是 采用 HTML 语言 编制 的 ,其 作用 只 是 显示 页 面 内 容 
并 提供 到 其 他 页 面 的 链接 。 当 用 户 对 页 面 中 的 活动 内 容 的 需求 越 来 越 多 ,单纯 用 HTML 
语言 编制 的 静态 页 面 显然 不 能 满足 要 求 。 

活动 内 容 是 指 在 静态 页 面 中 髋 入 的 对 用 户 透明 的 程序 , 它 可 完成 一 些 动作 : 显示 动 
态 图 像 .下载 和 播放 音乐 等 。 它 扩展 了 HTML 的 功能 ,使 页 面 更 为 活泼 ,将 原来 要 在 服 
务 器 上 完成 的 某 些 辅助 功能 转交 给 空闲 的 浏览 器 来 完成 。 

用 户 使 用 浏览 器 查看 一 个 带 有 活动 内 容 的 页 面 时 ,这 些小 应 用 程序 就 会 自动 下 载 并 
开始 在 浏览 器 上 启动 运行 。 由 于 活动 内 容 模 块 是 嵌入 在 页 面 里 的 , 它 对 用 户 透明 。 企 图 
破坏 浏览 器 的 人 可 将 破坏 性 的 活动 内 容 放 进 表面 看 起 来 完全 无 害 的 页 面 中 。 

(1) Java Applet 就 是 活动 内 容 的 一 种 。 它 使 用 Java 语言 开发 ,可 以 实现 各 种 各 样 的 
客户 端 应 用 。 这 些 Applet 随 页 面 下 载 下 来 ,只 要 浏览 器 兼容 Java, 它 就 可 在 浏览 器 上 自 
动 运行 。Java 使 用 沙 盒 (sandbox) 根 据 安 全 模式 所 定义 的 规则 来 限制 Java Applet 的 
活动 。 

(2) ActiveX 是 另 一 种 活动 内 容 的 形式 ,可 以 用 许多 程序 设计 语言 来 开发 ,但 它 只 能 
运行 在 安装 Windows 的 计算 机 上 。ActiveX 使 用 “代码 签名 ”(code signing) 机 制 ,在 安全 
性 方面 不 如 Java Applet。 一 旦 下 载 , 它 就 能 像 其 他 程序 一 样 执行 ,能 访问 包括 操作 系统 
代码 在 内 的 所 有 系统 资源 ,这 是 非常 危险 的 。 


12.1.3 对 通信 信道 的 安全 威胁 


对 通信 信道 的 安全 威胁 主要 包括 被 动 攻击 ,如 监听 程序 会 威胁 通信 信道 中 所 传输 信 
息 的 机 密 性 ; 主动 攻击 ,如 伪造 、. 自 改 . 重 放 会 威胁 通信 信道 中 所 传输 信息 的 完整 性 ;缺乏 
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身份 认证 机 制 ,使 得 冒充 他 人 身份 就 能 进行 中 间 人 攻击 ;缺乏 数字 签名 机 制 使 得 通信 双方 
相互 攻击 ,否认 曾经 发 送 或 接收 过 的 信息 ;拒绝 服务 攻击 使 得 通信 信道 不 能 保证 可 用 性 。 
所 以 保证 通信 信道 的 安全 是 Web 安全 服务 的 重点 和 难点 之 一 。 


12.2 ”Web 安全 的 实现 方法 


对 于 一 个 连接 到 Internet 上 的 计算 机 系统 而 言 , 最 危险 的 事件 之 一 就 是 从 网 上 任意 
下 载 程序 并 在 本 机 上 运行 它 ,因为 这 就 相当 于 要 接受 相应 的 程序 开发 者 的 控制 。 没 有 一 
个 操作 系统 能 控制 一 个 已 经 开始 执行 的 程序 的 权限 。Java 通过 沙 盒 机 制 来 实现 Java 
Applet 的 安全 性 。 

(1) 在 Java 1.0 中 ,所 有 独立 的 Java 应 用 程序 都 默认 为 可 信任 ,能 无 限制 地 访问 系 
统 资源 。 通 过 网 络 装 入 的 Java Applet 都 默认 为 不 可 信任 ,不 允许 访问 本 地 文件 系统 和 其 
他 程序 ,这 极 大 地 限制 了 Applet 程序 的 功能 。 

(2) 在 Java 1.1 中 ,在 保持 1.0 版 本 中 安全 性 特性 的 同时 ,允许 指定 某 些 Applet 为 
可 信任 Applet。 可 信任 Applet 可 以 访问 超出 沙 盒 范 围 的 系统 资源 。 当 一 个 Applet 被 签 
名 ,并 在 装 入 前 验证 其 是 由 信任 方 签名 , 且 在 签名 后 未 被 修改 , 它 就 是 可 信任 的 。 这 使 得 
Applet 的 开发 者 可 以 增加 许多 有 用 功能 ,缺点 在 于 安全 性 只 有 两 种 极端 情况 : Applet 或 
者 不 可 信任 ,受到 沙 盒 限 制 ;或 者 可 信任 ,不 受 任何 限制 ,这 就 破坏 了 最 小 权限 原则 。 

(3) Java 2.0 中 引入 了 能 够 实现 最 小 权限 原则 的 安全 体系 结构 。 这 个 安全 体系 结构 
可 以 支持 安全 策略 的 定制 ,根据 Applet 和 应 用 程序 的 来 源 及 签名 者 标识 确定 Applet 和 
应 用 程序 允许 的 访问 权限 。 

有 具体 来 说 ,现在 已 有 许多 提供 Web 安全 的 方法 ,这些 方法 的 作用 机 理 是 类 似 的 ,只 是 
各 自 的 应 用 范围 以 及 在 TCP/IP 协议 栈 中 的 相对 位 置 不 同 。 


1. 网 络 层 


建立 在 应 用 层 的 安全 机 制 不 能 保证 IP 包 本 身 的 安全 ,如 被 修改 ,伪造 和 重 放 等 。 
IPSec 提供 基于 端 到 端的 安全 机 制 ,可 在 网 络 层 上 对 数据 包 进 行 安全 处 理 , 是 一 个 通用 的 
解决 方案 。 各 种 应 用 程序 不 需要 修改 就 可 以 享用 IPSec 提供 的 安全 机 制 , 也 降低 了 产生 
安全 漏洞 的 可 能 。 基 于 网 络 层 实现 的 Web 安全 模型 如 图 12. 1 所 示 。 


2. 传输 层 


在 传输 层 之 上 实现 数据 的 安全 传输 是 Web 服务 的 另 一 种 安全 解决 方案 ,SSL 或 
TLS 可 以 作为 基础 协议 栈 的 组 成 部 分 ,对 应 用 透明 ;也 可 以 直接 将 其 嵌入 到 应 用 软件 中 
使 用 ,例如 ,在 Netscape 和 Microsoft 的 浏览 器 中 都 采用 这 种 戏 入 的 实现 方式 。SSL 协议 
在 应 用 层 协议 通信 之 前 就 已 经 完成 加 密 算法 、 通 信和 密 钥 的 协商 以 及 服务 器 认证 。 在 此 以 
后 传送 的 应 用 层 数据 都 会 被 加 密 , 从 而 保证 通信 的 安全 。 基 于 传输 层 实现 的 Web 安全 模 
型 如 图 12. 2 所 示 。 
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SMTP | HTT FTP 
SMIP HTTP FTP SSL 或 TLS 
TCP TCP 
IP/IPSec TP 
图 12.1 基于 网 络 层 实 现 的 Web 安全 图 12.2 基于 传输 层 实现 的 Web 安全 


3. 应 用 层 


特定 安全 服务 为 特定 应 用 定制 体现 ,将 安全 服务 直接 嵌入 在 应 用 程序 中 ,从 而 在 应 用 
层 实现 通信 安全 。SET( 安 全 电子 交易 ) 协 议 是 标准 的 电子 商务 安全 协议 ,S/MIME、PGP 
是 用 于 电子 邮件 安全 的 协议 ,它们 都 可 以 为 相应 的 应 用 提供 机 密 性 、 完 整 性 和 不 可 否认 
性 。 基 于 应 用 层 实 现 的 Web 安全 模型 如 图 12. 3 所 示 。 


SMIME | PGP | SET | 
ee SMTP HTTP | FTP 
SSH 

UDP TCP 

站 


图 12.3 基于 应 用 层 实 现 的 Web 安全 


12.3 SSL 协议 
12.3.1 SSL 概述 


SSL 是 Secure Socket Layer 的 英文 缩写 , 即 安 全 套 接 层 协议 ,是 PKI 体系 中 的 网 络 
安全 标准 协议 。SSL 协议 隶属 于 会 话 层 , 最 早 是 网 景 公司 (Netscape) 推 出 的 基于 Web 应 
用 的 安全 协议 。 

1994 年 ,Netscape 公司 为 了 保证 Web 通信 协议 的 安全 ,开发 了 SSL 协议 。 该 协议 第 
一 个 成 熟 的 版 本 是 SSL v2 ,被 集成 到 Netscape 公司 的 Internet 产品 中 ,包括 Navigator 
浏览 器 和 Web 服务 器 产品 等 。SSL v2 协议 基本 上 解决 了 Web 通信 协议 的 安全 问题 。 
1996 年 ,Netscape 公司 发 布 了 SSL v3 ,该 版 本 增加 了 对 更 多 算法 的 支持 和 一 些 新 的 安全 
竺 性 ,并 且 修 改 了 前 一 个 版 本 中 存在 的 安全 缺陷 ,与 SSL v2 相 比 ,更 加 成 熟 和 稳定 ,因此 
很 快 成 为 事实 上 的 工业 标准 。 

SSL 协议 指定 了 一 种 在 应 用 层 协 议 ( 如 HTTP、FTP 和 Telnet 等 ) 和 TCP/IP 协议 之 
间 提 供 数据 安全 性 的 机 制 , 它 为 TCP/IP 连接 提供 数据 机 密 性 、 数 据 完整 性 .服务 器 认证 
以 及 可 选 的 客户 机 认证 , 主要 用 于 实现 Web 服务 器 和 Web 浏览 器 之 间 的 安全 通信 。 

SSL 是 一 个 介 于 HTTP 协议 与 TCP 协议 之 间 的 一 个 可 选 层 ,这 使 它 可 以 独立 于 应 
用 层 , 从 而 使 绝 大 多 数 应 用 层 协议 可 以 直接 建立 在 SSL 之 上 。SSL 假定 其 下 层 数 据 包 发 
送 的 机 制 是 可 靠 的 ,数据 将 依照 顺序 发 送 给 另 一 端的 程序 ,不 会 出 现 丢 包 或 者 重复 发 送 的 
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情况 。SSL 协议 的 目标 就 是 在 通信 双方 之 间 利 用 加 密 的 SSL 信道 建立 安全 连接 , 它 不 是 
一 个 单独 的 协议 ,而 是 两 层 协议 。SSL 协议 栈 如 图 12. 4 所 示 。 


SSL 担 手 协议 SSL 更 改 密码 规格 协议 SSL 和 警告 协议 HITTP 


SSL 记 录 协 议 


图 12.4 SSL 协议 栈 


SSL 记录 协议 为 应 用 层 协 议 提 供 了 基本 的 安全 服务 ,通常 HTTP 可 以 在 SSL 记录 
协议 的 上 层 实现 。SSL 另外 还 有 3 个 高 层 协议 : 握手 协议 、 更 改 密码 规格 协议 和 警告 协 
议 。 记 录 协 议和 握手 协议 是 SSL 协议 体系 中 两 个 主要 的 协议 。 握 手 协议 用 于 在 客户 机 
和 服务 器 之 间 建 立 起 安全 连接 前 ,建立 一 个 连接 双方 的 安全 通道 ,并 能 够 通过 特定 的 加 密 
算法 相互 鉴别 ;记录 协议 则 用 来 封装 高 层 的 协议 ,执行 数据 的 安全 传输 。 

SSL 结合 使 用 对 称 密码 技术 和 公开 密码 技术 , 前 者 比 后 者 速度 快 ,但 是 后 者 可 以 更 加 
方便 地 实现 双方 的 认证 。 为 了 综合 利用 这 两 种 算法 的 优点 ,SSL 握手 协议 中 使 用 公开 加 密 
算法 使 服务 器 端 身份 在 客户 端 得 到 验证 ,并 传递 客户 端 产生 的 对 称 的 会 话 密 钥 。 然 后 SSL 
记录 协议 再 用 会 话 密 钥 来 加 密 、 解 密 数 据 。SSL 协议 可 以 实现 如 下 三 个 安全 服务 : 

(1) 机 密 性 : SSL 客户 机 和 服务 器 之 间 传 送 的 数据 都 经 过 了 加 密 处 理 , 网 络 中 的 非 
法 窃听 者 所 获取 的 信息 都 将 是 密 文 信息 。 

(2) 完整 性 : SSL 利用 密码 算法 和 散 列 函数 , 通过 对 传输 信息 特征 值 的 提取 来 保证 
信息 的 完整 性 , 确保 要 传输 的 信息 正确 到 达 目 的 地 , 可 以 避免 服务 器 和 客户 机 之 间 的 信 
息 受 到 破坏 。 

(3) 认证 性 : 利用 数字 证 书 技术 和 可 信 第 三 方 认证 , 可 以 让 客户 机 和 服务 器 相互 识 
别 对 方 的 身份 。 为 了 验证 证 书 持 有 者 是 合法 用 户 ( 而 不 是 冒名 用 户 ), SSL 要 求证 书 持 有 
者 在 握手 时 相互 交换 数字 证 书 , 通 过 验证 证 书 来 保证 对 方 身份 的 合法 性 。 

在 实际 使 用 时 ,SSL 协议 可 以 将 基于 证 书 的 认证 方法 和 基于 口令 的 认证 方法 完美 结 
合 起 来 。 在 SSL 握手 协议 中 ,服务 器 认证 是 必需 的 (使 用 数字 证 书 进行 认证 ) ,但 是 SSL 
的 执行 过 程 并 不 需要 CA 的 实时 参与 ,也 不 需要 查询 证 书库 ,所 以 不 会 使 CA 形成 瓶颈 。 
但 客户 机 认证 是 可 选 的 ,因为 可 以 在 建立 起 SSL 信道 后 ,再 用 协商 好 的 会 话 密 钥 加 密 传 
输 用 户口 令 来 实现 客户 机 认证 。 如 果 要 强制 支持 客户 机 认证 ,就 得 要 求 数目 众多 的 客户 
端 都 有 自己 的 数字 证 书 和 公开 密 钥 ,从 而 每 个 客户 端 都 要 内 置 相应 的 组 件 ,代价 比较 高 。 
当然 ,现在 对 客户 机 认证 的 支持 也 越 来 越 广泛 。 

因为 不 强制 客户 端 必 须 有 公私 钥 对 ,所 以 SSL 不 能 对 应 用 程序 的 消息 进行 数字 签 
名 ,因此 不 能 提供 消息 的 不 可 否认 性 ,这 是 SSL 用 在 电子 商务 中 的 最 大 不 足 。 鉴 于 此 ， 
Netscape 公司 在 从 Communicator 4. 04 版 开始 的 所 有 浏览 器 中 ,引入 了 一 种 称 作 “ 表 单 
签名 ”(form signing) 的 功能 。 在 电子 商务 中 ,可 利用 这 一 功能 来 对 包含 购买 者 的 订购 信 
息 和 付款 指令 的 表单 进行 数字 签名 ,从 而 保证 交易 的 不 可 否认 性 。 
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12.3.2 更 改 密码 规格 协议 


更 改 密码 规格 协议 (Change Cipher Spec Protocol) 是 位 于 SSL 记录 协议 之 上 的 较 简 
单 的 一 个 协议 ,具有 以 下 特性 : 

(1) 位 于 SSL 记录 协议 之 上 。 

(2) ContentType 一 20。 

(3) 协议 只 包含 一 条 消息 , 且 该 消息 只 包含 一 个 值 为 1 的 字 节 。 

其 作用 是 : 把 未 决 状态 设置 为 当前 状态 ,更 新 当前 连接 的 密 钥 组 ,这 标志 着 加 密 策略 
的 改变 。 


12.3.3 警告 协议 


警告 协议 (Alert Protocol) 位 于 SSL 记录 协议 之 上 ,Alert 消息 的 作用 是 当 握手 过 程 
或 数据 加 密 等 操作 出 错 或 发 生 异常 情况 时 ,用 来 为 对 等 实体 传递 SSL 的 相关 警告 或 终止 
当前 连接 , 它 具 有 以 下 特性 : 

(1) 位 于 SSL 记录 协议 之 上 。 

(2) ContentType 一 21。 

(3) 协议 数据 包 有 两 个 字 节 : 

。 第 一 个 字 节 为 警告 级 别 ,分 为 Warning 和 Fatal 两 种 情况 。 

。 第 二 个 字 节 为 警告 代码 。 

Fatal 类 型 的 警告 消息 导致 连接 立即 终止 ,此 时 ,对 应 该 会 话 的 其 他 连接 可 以 继续 ,但 
是 会 话 标志 符 无 效 ,以 免 有 人 利用 此 失败 的 连接 来 建立 新 的 连接 。 


12.3.4 SSL 记录 协议 


SSL 记录 协议 (Record Protocol) 用 来 描述 SSL 信息 交换 过 程 中 的 记录 格式 , 它 提供 
了 数据 加 密 、 数 据 完 整 性 等 功能 。 在 SSL 中 ,所 有 数据 都 被 封装 在 记录 中 ,一 个 记录 由 两 
部 分 组 成 : 记录 头 和 非 零 长 度 的 数据 。SSL 握手 协议 的 报 文 必须 放 在 一 个 SSL 记录 层 的 
记录 里 ,但 应 用 层 协 议 的 报 文 允许 占用 多 个 SSL 记录 来 传送 。 

图 12.5 描述 了 SSL 记录 协议 的 操作 步骤 : 将 数据 分 段 成 可 以 操作 的 数据 块 , 对 分 块 
数据 进行 数据 压缩 ,计算 MAC 值 ,对 压缩 数据 及 MAC 值 进行 加 密 ,最 后 加 入 SSL 记录 
头 ,在 TCP 中 传输 结果 单元 。 接 收 端 对 接收 到 的 数据 经 过 解密 、 验 证 ,解压 、 重 组 ,然后 提 
交 给 上 层 应 用 。SSL 记录 头 如 图 12.6 所 示 , 具 有 以 下 特性 : 

(1) 内 容 类 型 (ContentType) : 8 位 ,用 于 处 理 分 段 的 上 层 协议 类 型 ,可 以 是 以 下 协议 
之 一 : 更 改 密码 规格 协议 ,警告 协议 和 握手 协议 等 。 

(2) 协议 版 本 (ProtocolVersion) : 16 位 ,标明 SSL 版 本 号 ,其 中 高 8 位 代表 主 版 本 ， 
低 8 位 代表 次 版 本 。 对 SSL v3, 主 版 本 号 为 3, 次 版 本 号 为 0。 
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应 用 层 数据 
级 /7 A NANAN、 
记录 协议 单元 ] | ] 
压缩 > 
压缩 单元 
增加 MAC 单 元 
加 密 ， 
加 密 单元 
添加 SSL 记 录 首 部 | 
TCP 数 据 包 
图 12.5 SSL 记录 协议 的 操作 步 又 
内 容 类 型 主 版 本 次 版 本 压缩 长 度 


MAC 值 (0.16 或 20 比 特 ) 


图 12.6 SSL 记录 头 


(3) 压缩 长 度 (Length): 原文 分 段 长 度 ,如 果 经 过 压缩 ,该 长 度 即 为 压缩 分 段 长 度 。 


12.3.5 SSL 握手 协议 


SSL 握手 协议 (Handshake Protocol) 是 SSL 中 最 复杂 的 部 分 , 它 协商 的 结果 是 SSL 
表 12.2 SSL 握手 消息 及 参数 


消息 类 型 


参 数 


hello_request 


Null 


client_hello 


server_hello 


版 本 ,随机 数 ,会 话 
了 D, 密 码 参 数 ,压缩 
方法 


certificate X. 509v3 证 书 链 
server_key_exchange | 参数 ,签名 
certificate_request 类 型 ,CA 
server_done Null 
certificate_verify 签名 
client_key_exchange | 参数 ,签名 
Finished Hash 值 
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记录 协议 处 理 的 基础 ,ContentType 为 22。 
协议 头 分 为 以 下 三 个 部 分 : 

(1) 消息 类 型 (1B) ,如 表 12. 2 所 示 。 

(2) 消息 长 度 (3B) 。 

(3) 内 容 (大 于 等 于 1B): 与 该 消息 有 关 
的 参数 ,如 表 12.2 所 示 。 

在 应 用 层 协议 通信 之 前 ,SSL 客户 端 和 
服务 器 先进 行 通信 ,它们 首先 使 用 SSL 握手 
协议 在 一 个 协议 版 本 上 达成 一 致 ,并 交换 版 
本 号 ,协商 加 密 算法 、 相 关 密 钥 、MAC 算法 ， 
以 及 进行 身份 认证 。 最 后 客户 机 生成 一 个 随 
机 数 作为 对 称 的 会 话 密 钥 ,用 服务 器 的 公 钥 


加 密 ,发 送 到 服务 器 上 。 在 此 之 后 应 用 层 协议 所 传送 的 数据 都 会 被 加 密 ,这 样 就 可 弥补 
TCP/IP 协议 安全 性 差 的 弱点 。 

SSL v3. 0 的 握手 过 程 用 到 3 种 协议 : 握手 协议 、 更 改 密码 规格 协议 和 警告 协议 。 
SSL 的 握手 协议 如 图 12.7 所 示 。 


Client Server 
Tel 
Hello 四 
1 ServerHello 
1 Certificate* 
ServerKeyExchange* 
CertificateRequest* 
Key ServerHelloDone 


Agreement 
Certificate* 
ClientKeyExchange 


1 Certificate Verify* 
人 ChangeCipherSpec 
Finished 
Finished ChangeCipherSpec 
Finished 
et, ENN ES | a 


Application Data Application Data 
注 : * 表 示 要 视 具 体 倩 况 使 用 或 可 选 
图 12.7 SSL 的 握手 过 程 


SSL 握手 协议 可 分 为 以 下 三 个 阶段 : 

(1) 第 一 阶段 (Hello 阶段 ) :主要 工作 是 协商 协议 版 本 、 会 话 ID、 密 码 组 .压缩 算法 、 
交换 随机 数 等 。 

Q@ Client Hello 消息 :为 了 在 客户 端 和 服务 器 之 间 开 始 通信 , 客 户 端 必须 初始 化 一 个 
Client Hello 消息 。 该 消息 包含 : 两 边 的 基本 连接 信息 如 客户 端 版 本 号 、 随 机 数 、 会 话 
ID .所 支持 的 密码 算法 组 合 和 压缩 算法 ,将 这 些 发 给 服务 器 供 其 选择 ,用 来 建立 安全 的 通 
信 信 道 。 

@ Server Hello 消息 : 服务 器 处 理 Client Hello 消息 之 后 ,可 以 用 一 个 握手 失败 警告 
或 者 一 个 Server Hello 消息 来 响应 。Server Hello 消息 的 内 容 与 Client Hello 消息 的 内 
容 相 似 , 区 别 在 于 : Client Hello 消息 用 于 列 出 客户 端的 能 力 , 而 Server Hello 消息 则 用 
于 做 出 决定 ,并 将 该 决定 传 回 客户 端 。 该 消息 中 包含 服务 器 版 本 号 、 会 话 ID .由 服务 器 产 
生 的 不 同 于 客户 端的 随机 数 、 服 务 器 选择 采用 的 密码 算法 组 合 和 压缩 算法 。 

(2) 第 二 阶段 (Key Agreement 阶段 ): 主要 工作 是 发 送 服务 器 证 书 , 并 请 求 客户 端 
证 书 ( 可 选 ), 如 果 被 要 求证 书 ,客户 端 就 发 送 该 证 书 。 

Q@ Certificate 消息 :服务 器 发 送 自己 的 证 书 给 客户 端 , 供 客户 端 认 证 服务 器 的 身份 。 
客户 端 收 到 后 要 检查 上 面 的 发 证 机 关 签 名 是 否 正确 .证 书 是 否 在 有 效 期 之 内 。 该 消息 可 
以 使 客户 端 得 到 服务 器 的 公 钥 ,客户 端 将 用 该 公 钥 加 密实 际 产生 的 会 话 密 钥 。 
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@ Server Hello Done 消息 :服务 器 向 客户 端 发 送 Server Hello Done 消息 ,以 表明 
Server Hello 的 结束 ,发 送 完 这 个 消息 后 ,服务 器 将 等 待 客户 端的 响应 。 

@ Client Key Exchange 消息 :Client Key Exchange 消息 允许 客户 端 向 服务 器 发 送 
密 钥 消息 ,该 消息 根据 当前 会 话 状态 指定 的 密 钥 交 换算 法 选择 相应 的 记录 结构 ,然后 用 服 
务 器 的 公 钥 加 密 预 主 密 钥 发 送 给 服务 器 ,以 便 双 方 协商 会 话 密 钥 。 具 体 过 程 如 下 : 如 果 
客户 端 在 服务 器 证 书 上 没有 发 现 问题 ,客户 端 会 生成 一 个 预 主 密 钥 (pre_master_secret) ， 
并 用 服务 器 的 公 钥 加 密 后 传 给 服务 器 。 服 务 器 收 到 Client Key Exchange 消息 后 ,用 自己 
的 私 钥 解 开 预 主 密 钥 。 客 户 端 和 服务 器 各 自用 相同 的 公式 ,根据 预 主 密 钥 来 计算 主 密 钥 ， 
生成 所 用 的 会 话 密 钥 。 

(3) 第 三 阶段 (Finished 阶段 ) :主要 工作 是 改变 密码 组 ,完成 握手 。 

OD Change Cipher Spec 消息 :Change Cipher Spec 消息 有 着 特殊 的 用 途 , 它 表示 记录 
加 密 及 认证 的 改变 。 一 旦 握手 商定 了 一 组 新 的 密 钥 ,就 发 送 Change Cipher Spec 来 指示 
此 刻 将 启用 新 的 密 钥 。 

@ Finished 消息 :此 时 握手 协议 完成 ,双方 可 以 安全 地 传输 应 用 数据 。 如 果 客 户 端 
验证 收 到 的 Finished 消息 正确 无 误 , 则 表明 服务 器 已 经 准确 地 用 与 服务 器 证 书 相 对 应 的 
私 钥 解 开 了 pre_master_secret, 并 最 终生 成 正确 的 会 话 密 钥 。 可 以 同时 确认 服务 器 的 身 
份 并 证 明 会 话 密 钥 交换 已 成 功 。 至 此 ,握手 成 功 ,开始 进入 密 文 传输 。 

握手 协议 结束 后 ,SSL 所 要 做 的 工作 就 是 根据 握手 协商 的 结果 ,在 通信 和 链 路 上 使 用 
SSL 记录 协议 对 应 用 层 数据 进行 安全 传输 。 另 外 ,在 SSL 通信 结束 之 前 ,客户 端 和 服务 
器 必须 共享 如 下 知识 : 该 连接 将 结束 。 这 个 知识 就 是 SSL 定义 的 一 个 特殊 消息 
ClosureAlert, 用 来 报告 数据 已 经 完全 发 送 ,可 以 结束 连接 了 。 通 信 双 方 都 必须 相互 发 送 
ClosureAlert 才能 结束 连接 ,这 种 安排 可 以 防止 可 能 的 截断 攻击 。 

一 次 典型 的 SSL 会 话 的 执行 过 程 如 下 : 

(1) Web 客户 机 请 求 连接 到 一 个 支持 SSL 的 服务 器 ,启动 一 次 SSL 会 话 。 

(2) 支持 SSL 的 Web 服务 器 在 一 个 与 标准 的 HTTP 请 求 不 同 的 端口 (443) 上 接受 
SSL 连接 请 求 。 

(3) 当 客 户 机 连接 到 这 个 端口 时 , 它 将 启动 一 次 建立 SSL 会 话 的 握手 ,完成 通信 方 的 
认证 和 加 密 算 法 的 协商 。 

(4) 当 握 手 完成 之 后 ,就 开始 使 用 记录 协议 封装 应 用 层 的 协议 ,通信 内 容 被 加 密 ,并 
且 执 行 消息 完整 性 检查 ,直到 SSL 会 话 过 期 。 


12.3.6 SSL 的 安全 性 分 析 


1. SSL 协议 的 安全 性 隐患 


(1) 握手 协议 安全 性 是 SSL 协议 安全 性 的 基础 ,在 握手 协议 中 产生 主 密 钥 , 将 主 密 钥 
用 KDF( 密 钥 导 出 函数 ) 处 理 ,从 而 产生 将 要 在 本 次 会 话 中 使 用 的 对 称 密 钥 ,所 以 只 要 获 
得 主 密 钥 ,就 能 计算 出 SSL 会 话 中 的 会 话 密 钥 。 图 12. 8 描述 了 主 密 钥 的 生成 过 程 。 由 


198 


于 客户 端 随机 数 和 服务 器 端 随机 数 是 在 主 密 钥 生成 之 前 生成 的 ,是 明文 传输 ,只 要 人 侵 者 
得 到 预 主 密 钥 , 就 能 算出 主 密 钥 ,从 而 得 到 SSL 的 会 话 密 钥 。 因 此 SSL 协议 的 安全 隐患 
之 一 是 如 何 确保 预 主 密 钥 的 安全 性 。 


客户 器 随 机 数 预 主 密 角 服务 名 疝 机 数 
了 
和 
Ea 
| 
了 


图 12.8 主 密 钥 的 生成 过 程 


(2) 根据 握手 协议 ,所 有 密 钥 均 是 基于 随机 数 产生 的 。 随 机 数 的 质量 越 高 ,生成 的 密 
钥 越 安全 ,因此 ,能 不 能 保证 随机 数 的 质量 ,也 是 SSL 的 安全 性 隐患 。 

(3) 在 SSL 协议 中 ,证 书 用 来 证 明 通信 双方 身份 ,客户 端 和 服务 器 建立 新 的 SSL 会 
话 时 ,它们 使 用 数字 证 书 来 确认 对 方 的 身份 .交换 密 钥 材料 。 客 户 端 利 用 服务 器 的 公 钥 对 
密 钥 材 料 进行 加 密 , 一 旦 收 到 加 密 后 的 材料 ,服务 器 就 用 相应 的 私 钥 进 行 解密 。 而 黑客 可 
能 窃取 有 效 的 证 书 及 相应 的 私 钥 ,伪装 成 该 服务 器 进行 解密 操作 ,成功 地 处 理 握 手 协议 。 
这 也 是 SSL 协议 另 一 个 至 关 重 要 的 安全 隐患 一 -有 可 能 遭受 中 间 人 攻击 。 

(4) 利用 SSL 的 攻击 无 法 被 IDS 检测 到 。 典 型 的 IDS 监视 网 络 通信 ,并 将 其 与 保存 
在 数据 中 的 已 知 * 攻 击 特征 ”比较 ,如 果 网 络 通信 是 加 密 的 ,IDS 无 法 监视 其 行为 ,这 反而 
可 能 会 使 攻击 更 为 隐藏 。 加 密 的 网 络 通信 也 会 在 一 定 程度 上 影响 防火 墙 的 过 滤 功 能 。 

(5) SSL 使 用 复杂 的 数学 公式 进行 数据 加 密 和 解密 ,高 强度 的 计算 会 使 多 数 服 务 器 
停顿 ,并 导致 性 能 下 降 。 多 数 Web 服务 器 在 执行 SSL 相关 任务 时 ,吞吐 量 会 显著 下 降 。 

(6) SSL 也 不 能 保证 Web 浏览 器 和 服务 器 自身 的 安全 。 


2. 增强 SSL 安全 性 方法 


为 了 加 强 SSL 协议 的 安全 性 ,可 以 从 软件 和 硬件 两 方面 解决 SSL 协议 的 安全 隐患 。 

(1) 增强 预 主 密 钥 的 保密 性 

有 两 种 方法 增强 预 主 密 钥 的 安全 性 : 一 种 是 采用 口令 加 密 的 方法 , 另 一 种 是 硬件 
加 密 的 方法 。 其 中 口令 生成 密 钥 加 密 预 主 密 钥 方法 是 比较 普遍 的 方法 ;而 硬件 加 密 的 
方法 是 一 种 包含 供 私 钥 使 用 的 持续 性 存储 器 和 能 够 执行 加 密 计算 的 设备 ,整个 密 钥 的 
产生 过 程 都 在 这 个 设备 中 ,设备 本 身 也 设 有 一 个 密码 ,可 以 对 使 用 者 起 到 身份 认证 的 
作用 。 
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(2) 提高 随机 数 的 质量 

目前 有 两 种 产生 随机 数 的 方法 : 一 种 是 软件 方法 , 另 一 种 是 硬件 方法 。 其 中 软件 方 
法 PRNG 需要 一 个 随机 数 作 为 种 子 , 种 子 的 质量 则 直接 影响 到 生成 随机 数 的 质量 ;硬件 
方法 使 用 硬件 来 产生 随机 数 , 此 方法 得 到 的 随机 数 质量 比较 高 ,但 总 是 出 现在 一 个 范围 之 
内 。 提 高 随机 数 的 质量 的 有 效 方法 是 用 硬件 随机 数 发 生 器 产生 的 随机 数 作为 PRNG 的 
种 子 , 通 过 高 强度 的 PRNG 的 处 理 , 来 产生 高 质量 的 随机 数 。 

(3) 提高 证 书 CA 的 可 靠 性 

在 SSL 协议 中 ,证 书 是 用 来 证 明 通 信 双 方 身份 用 的 ,因此 验证 证 书 的 真实 性 和 有 效 
性 是 至 关 重 要 的 。 要 有 一 个 可 靠 的 CA, 在 服务 器 的 认证 阶段 ,所 有 证 书 的 颁发 和 有 效 性 
判断 ,都 是 靠 CA 来 控制 的 。 如 果 没 有 一 个 可 靠 的 CA ,就 无 法 判断 出 连接 的 合法 性 。 

总 地 来 讲 ,SSL 协议 的 安全 性 能 不 错 , 而 且 随 着 协议 的 不 断 改进 ,更 多 的 安全 性 好 的 
加 密 算 法 被 采用 ,逻辑 上 的 缺陷 被 弥补 , 它 的 安全 性 会 不 断 增 强 。 但 SSL 的 安全 性 不 是 
完美 的 , 它 只 是 网 络 安全 协议 的 一 种 ,必须 与 其 他 安全 协议 和 工具 结合 使 用 。 


12.3.7 TLS 协议 


1996 年 ,IETF 组 织 了 一 个 传输 层 安全 工作 组 。 这 个 工作 组 的 目标 是 在 现 有 的 SSL v3 
的 基础 上 ,给 Internet 编写 标准 的 传输 层 安 全 协议 。 编 写 传输 层 安全 协议 的 目的 是 不 要 再 
出 现 新 的 协议 ,避免 造成 混淆 ,并 希望 能 够 提供 可 扩展 性 和 兼容 性 。 编 写 的 这 个 协议 就 是 传 
输 层 安全 (Transport Layer Security, TLS) 协 议 。 在 传输 层 上 ,TLS 协议 在 源 和 目的 实体 间 
建立 了 一 条 安全 通道 ,提供 基于 证 书 的 认证 ,数据 完整 性 和 数据 机 密 性 。 在 TLS vl 和 SSL 
v3 之 间 的 差别 非常 小 ,但 使 用 的 加 密 算法 等 存在 显著 差别 ,造成 两 者 不 能 兼容 , 即 不 能 相互 
操作 。 但 是 由 于 各 种 原因 ,TLS 协议 到 目前 为 止 并 不 能 够 取代 SSL 协议 。 

TLS 的 目标 如 下 (根据 优先 级 排列 ): 

(1) 数据 安全 : TLS 能 够 被 用 于 在 两 方 之 间 建 立 安全 连接 。 

(2) 互 操作 性 : 不 依赖 于 应 用 程序 的 开发 ,此 外 TLS 的 一 方 可 以 在 不 知道 另 一 方 代 
码 的 情况 下 成 功 地 交换 加 密 信 息 。 

(3) 可 扩展 性 : TLS 试图 提供 一 种 框架 可 以 使 用 新 的 两 种 加 密 机 制 的 方法 进行 交 
互 。 这 个 目标 有 两 个 子 目 标 : 避免 重建 一 种 全 新 的 协议 ;避免 重新 实现 一 个 全 新 的 安 
全 库 。 

(4) 系统 效率 : 加 密 操 作 非 常 耗费 CPU 资源 ,尤其 是 公开 加 密 算法 的 计算 。 因 此 
TLS 协议 使 用 了 缓存 机 制 以 减少 需要 建立 的 连接 数 。 此 外 TLS 协议 还 非常 注意 减少 网 
络 流量 。 


12.4 OpenSSL 简介 


上 面 介绍 了 SSL 协议 ,与 所 有 的 协议 一 样 ,都 只 是 一 些 规则 而 已 ,要 做 到 真正 应 用 ， 
必须 将 所 有 的 协议 规则 转换 成 代码 ,对 于 任何 个 人 和 组 织 来 说 ,这 都 是 一 个 艰巨 的 任务 ， 
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尤其 是 SSL 协议 这 样 一 种 涉及 诸多 专业 知识 的 协议 。 目 前 ,主流 的 Web 服务 器 和 浏览 
器 都 支持 SSL 协议 ,但 由 于 这 些 商 业 产品 的 源 代码 不 是 开放 的 ,使 得 对 这 些 商 业 产 品 的 
研究 大 大 落后 ,信任 度 也 不 高 。 

OpenSSL(http://www. openssl. org) 是 唯一 一 个 免费 且 具 有 完整 功能 的 SSL 实现 ， 
它 使 用 C 语言 开 发 ,能 够 在 各 种 主流 平台 工作 ,包括 所 有 的 UNIX 系统 和 所 有 常用 版 本 
的 Windows 系统 。OpenSSL 项 目 最 早 由 加 拿 大 人 Eric A. Yang 和 Tim J. Hudson 开发 ， 
现在 由 OpenSSL 项 目 小 组 负责 改进 和 开发 。OpenSSL 项 目 通 过 共同 合作 来 发 展 一 个 健 
壮 的 、 商 业 级 的 、 完 整 的 开放 源码 工具 包 , 来 实现 安全 套 接 层 协议 (SSL v2/SSL v3) 和 传 
输 层 安全 协议 (TLS v1) ,以 及 一 个 强大 通用 的 密码 库 。 

OpenSSL 最 早 的 版 本 在 1995 年 发 布 ,1998 年 后 开始 由 OpenSSL 项 目 组 维护 和 开 
发 ,完全 实现 了 对 SSL v1、SSL v2、SSL v3 和 TLS vl 的 支持 。OpenSSL 的 源 代码 库 可 以 
自由 下 载 ,并 可 以 免费 用 于 任何 商业 或 非 商 业 的 目的 。 目 前 ,OpenSSL 已 经 得 到 了 广泛 
的 应 用 ,许多 类 型 的 软件 中 的 安全 部 分 都 使 用 了 OpenSSL 的 库 , 如 VoIP 的 OpenH323 
协议 .Apache 服务 器 、Linux 安全 模块 等 。 


12.4.1 OpenSSL 结构 


从 OpenSSL 的 官方 网 站 下 载 OpenSSL 开发 包 , 解 压 到 硬盘 上 后 , 面 对 的 是 
OpenSSL 文件 夹 目 录 中 的 众多 目录 和 文件 。 要 了 人 解 OpenSSL 必须 先 要 清楚 OpenSSL 
的 目录 结构 。OpenSSL 整个 软件 包 大 概 可 以 分 成 3 个 主要 的 功能 部 分 : 密码 算法 库 、 
SSL 协议 库 以 及 应 用 程序 ,OpenSSL 的 目录 结构 自然 也 是 围绕 这 3 个 功能 部 分 进行 规 
划 的 。 

首先 ,OpenSSL 的 根 目录 下 有 不 少 文件 ,这 些 文件 包含 OpenSSL 各 个 平台 下 编译 安 
装 的 说 明文 档 ,编译 安装 的 配置 文件 以 及 OpenSSL 本 身 版 本 变化 的 一 些 说 明文 档 。 诸 如 
INSTALL. * 这 样 名 称 的 文件 ,都 是 安装 编译 说 明文 件 ,后 缀 名 是 平台 的 名 称 。 如 
INSTALL. w32, 是 Windows 平台 的 OpenSSL 安装 编译 说 明文 件 。 只 有 Linux 的 安装 
编译 说 明文 件 是 不 带 后 级 的 ,就 是 INSTALL, 由 此 可 见 ,OpenSSL 出 身 于 Linux 家 族 。 

接 下 来 关注 那些 文件 目录 ,这 是 OpenSSL 真正 的 精华 所 在 ,也 就 是 大 量 的 源 程 序 。 
Crypto 目录 是 OpenSSL 所 有 密码 算法 和 一 些 PKI 相关 标准 源码 存放 的 目录 ,也 是 
OpenSSL 最 重要 的 一 个 目录 。OpenSSL 的 密码 算法 库 包含 了 OpenSSL 中 所 有 密码 算法 、 密 
钥 管 理 和 证 书 管理 相关 标准 的 实现 ,在 Windows 下 编程 后 的 库 文件 名 为 libeay32. lib， 
在 Linux 下 编译 后 产生 的 库 文件 名 为 libcrypto. a。 

Doc 目录 是 OpenSSL 使 用 的 说 明文 档 存 放 的 目录 。OpenSSL 的 Doc 目录 对 于 刚刚 
接触 OpenSSL 的 人 来 说 是 一 个 比较 好 的 选择 。OpenSSL 的 文档 主要 分 为 3 部 分 : 应 用 
程序 说 明文 档 密码 算法 库 API 文 档 以 及 SSL 协议 库 API 文档, 分 别 对 应 Doc 根 目录 下 
的 3 个 子 目录 Apps、Crypto 和 SSL。 应 用 程序 说 明文 档 目 录 (Apps) 包 含 了 大 部 分 
OpenSSL 应 用 程序 的 使 用 和 参数 说 明 .并 有 部 分 例子 。 密 码 算法 库 API 文 档 (Crypto) 则 
包含 了 部 分 OpenSSL 密码 算法 库 的 API 使 用 说 明 , 可 惜 不 是 很 全 面 。SSL 协议 库 API 
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文档 包含 了 OpenSSL 实现 的 SSL 协议 和 TLS 协议 的 大 部 分 API 使 用 说 明 。 此 外 ,目前 
版 本 OpenSSL 的 Doc 目录 下 还 有 一 个 Howto 子 目录 ,现在 只 有 一 个 文件 ,内 容 是 关于 证 
书 的 一 些 问 题 。 

另外 ,SSL 目录 是 SSL 协议 各 个 版 本 的 实现 源码 存放 的 目录 。Apps 目录 存放 了 
OpenSSL 所 用 应 用 程序 的 源 代码 文件 ,也 是 研究 OpenSSL 的 API 很 好 的 例子 。Demos 
目录 中 是 一 些 乐 于 奉献 的 人 写 的 OpenSSL 应 用 的 例子 。Include 目录 是 使 用 OpenSSL 
的 库 进行 编程 的 时 候 可 能 需要 使 用 到 的 一 些 头 文件 。Test 目录 是 OpenSSL 一 些 自身 测 
试 程序 源 文件 所 在 的 地 方 。 


12.4.2 OpenSSL 功能 


1. 对 称 加 密 算法 


OpenSSL 一 共 提 供 了 8 种 对 称 加 密 算法 ,其 中 7 种 是 分 组 加 密 算法 ,还 有 1 种 是 流 
加 密 算法 RC4。 这 7 种 分 组 加 密 算法 分 别 是 AES、DES/3DESBlowfish、CAST、IDEA、 
RC2、RC5。 虽 然 每 种 加 密 算法 都 定义 了 自己 的 接口 函数 ,但 是 OpenSSL 还 使 用 EVP 封 
装 了 所 有 的 对 称 加 密 算法 ,使 得 各 种 对 称 加 密 算法 能 够 使 用 统一 的 API 接口 EVP_ 
Encrypt 和 EVP_Decrypt 进行 数据 的 加 密 和 解密 ,大 大 提高 了 代码 的 可 重用 性 。 


2. 非 对 称 加 密 算法 


虽然 OpenSSL 的 对 称 加 密 算法 和 消息 摘要 算法 很 好 用 ,但 是 非 对 称 加 密 算法 仍然 很 
困难 。OpenSSL 共 实 现 了 4 种 非 对 称 加 密 算法 ,包括 Diffie-Hellman 算法 、RSA 算法 、 
DSA 算法 和 椭圆 曲线 算法 (ECC)。OpenSSL 也 使 用 EVP 技术 对 不 同 功能 的 非 对 称 加密 
算法 进行 封装 ,提供 了 统一 的 API 接口 ,但 是 这 个 接口 比 其 他 接口 要 复杂 得 多 。 如 果 使 
用 非 对 称 加 密 算法 进行 密 钥 交换 或 者 密 钥 加 密 , 则 使 用 EVP_Seal 和 EVP_Open 进行 加 
密 和 解密 ;如 果 使 用 非 对 称 加 密 算法 进行 数字 签名 , 则 使 用 EVP_Sign 和 EVP_Verify 进 
行 签名 和 验证 。 


3. 消息 摘要 算法 


OpenSSL 实现 了 5 种 消息 摘要 算法 ,分 别 是 MD2、MD5、MDC2、SHA/SHA1 和 
RIPEMD。 此 外 ,OpenSSL 还 实现 了 DSS 标准 中 规定 的 两 种 消息 摘要 算法 DSS 和 DSS1。 
OpenSSL 封装 了 这 些 算法 ,采用 EVP_Digest 接口 作为 消息 摘要 算法 统一 的 EVP 接口 。 


4. 密 钥 和 证 书 管理 


密 钥 和 证 书 管理 是 PKI 的 一 个 重要 组 成 部 分 ,OpenSSL 为 它 提供 了 丰富 功能 ,支持 
多 种 标准 。 首 先 ,OpenSSL 实现 了 ASN. 1 的 证 书 和 密 钥 相关 标准 ,提供 了 对 证 书 、 公 钥 、 
私 钥 .证 书 请 求 以 及 CRL 等 数据 对 象 的 DER、PEM 和 Base64 的 编 解 码 功能 。 其 次 ， 
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OpenSSL 实现 了 对 证 书 的 X. 509 标准 编 解码 .PKCS#12 格式 的 编 解码 以 及 PKCS#7 
的 编 解 码 功能 ,并 提供 了 一 种 文本 数据 库 , 支 持 证 书 的 管理 功能 ,包括 证 书 密 钥 产生 证书 
签发 .吊销 和 验证 等 功能 。 事 实 上 ,OpenSSL 提供 的 CA 应 用 程序 就 是 一 个 小 型 的 证 书 
管理 中 心 (CA) ,实现 了 证 书签 发 的 整个 流程 和 证 书 管理 的 大 部 分 机 制 。 


5. SSL 和 TLS 协议 


虽然 已 经 有 众多 的 软件 实现 了 OpenSSL 的 功能 ,但 是 OpenSSL 中 实现 的 SSL 协议 
能 够 让 我 们 对 SSL 协议 有 一 个 更 加 清楚 的 认识 ,因为 至 少 存在 两 点 : 一 是 OpenSSL 实现 
的 SSL 协议 是 开放 源 代码 的 ,我 们 可 以 追究 SSL 协议 实现 的 每 一 个 细节 ;二 是 OpenSSL 
实现 的 SSL 协议 是 纯粹 的 SSL 协议 ,没有 跟 其 他 协议 (如 HTTP) 协 议 结合 在 一 起 ,澄清 
了 SSL 协议 的 本 来 面目 。OpenSSL 实现 了 SSL 协议 的 SSL v2、SSL v3 和 TLS v1, 支持 
了 其 中 绝 大 部 分 算法 协议 。 


6. 应 用 程序 


OpenSSL 应 用 程序 已 经 成 为 OpenSSL 重要 的 组 成 部 分 ,其 重要 性 恐怕 是 OpenSSL 
的 开发 者 开始 没有 想到 的 。 现 在 OpenSSL 的 应 用 中 ,很 多 都 是 基于 OpenSSL 应 用 程序 
而 不 是 其 API 的 ,如 OpenCA, 就 是 完全 使 用 OpenSSL 应 用 程序 实现 的 。OpenSSL 应 用 
程序 是 基于 OpenSSL 的 密码 算法 库 和 SSL 协议 库 写 成 的 ,所 以 也 是 一 些 非常 好 的 
OpenSSL 的 API 使 用 范例 。OpenSSL 应 用 程序 提供 了 相对 全 面 的 功能 。OpenSSL 应 用 
程序 主要 包括 密 钥 生成 ,证 书 管理 ,格式 转换 、 数 据 加 密 和 签名 、SSL 测试 以 及 其 他 辅助 
配置 功能 。 根 据 指令 的 性 质 对 指令 进行 了 归 类 ,包括 对 称 密 钥 指令 , 非 对称 密 钥 指 令 、 消 
息 摘 要 和 签名 指令 ,证 书签 发 和 管理 指令 、 标 准 转换 指令 、SSL 测试 指令 以 及 其 他 。 


7. Engine 机 制 


Engine 机 制 集成 到 OpenSSL 的 0. 9. 7 版 内 核 中 ,成 为 OpenSSL 不 可 缺少 的 一 部 
分 。Engine 机 制 目的 是 为 了 使 OpenSSL 能 够 透明 地 使 用 第 三 方 提供 的 软件 加 密 库 或 者 
硬件 加 密 设备 进行 加 密 。OpenSSL 的 Engine 机 制 成 功 地 达到 了 这 个 目的 ,这 使 得 
OpenSSL 已 经 不 仅仅 是 一 个 加 密 库 ,而 是 提供 了 一 个 通用 加 密 接 口 ,能 够 与 绝 大 部 分 加 
密 库 或 者 加 密 设 备 协调 工作 。 当 然 ,要 使 特定 加 密 库 或 加 密 设备 和 OpenSSL 协调 工作 ， 
需要 写 少 量 的 接口 代码 。 目 前 ,OpenSSL 的 0. 9.7 版 本 支持 的 内 赃 第 三 方 加 密 设 备 有 8 种 ， 
包括 CryptoSwift、nCipher、Atalla、Nuron、UBSEC、Aep、SureWare 以 及 IBM 4758 CCA 的 硬 
件 加 密 设 备 。 现 在 还 出 现 了 支持 PKCS# 11 接口 的 Engine 接口 ,支持 微软 CryptoAPI 的 接 
口 也 有 人 进行 开发 。 


12.4.3 Windows 平台 下 OpenSSL 的 编译 和 安装 


在 Windows 中 下 载 OpenSSL 源码 后 ,在 使 用 之 前 要 经 过 两 个 阶段 : 编译 和 安装 。 
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首先 要 做 的 是 编译 ,将 OpenSSL 的 源 代码 编译 链接 成 可 执行 文件 .静态 链接 库 和 动态 链 
接 库 。 然 后 进行 安装 ,也 就 是 将 OpenSSL 编译 好 的 可 执行 程序 静态 链接 库 和 动态 链接 
库 复制 到 特定 的 系统 目录 。 在 某 些 系统 中 ,还 需要 设置 环境 变量 。 

在 OpenSSL 的 官方 主页 (www. openssl. org) 上 下 载 开 发 包 openssl-0. 9. 6h. tar. gz， 
解压 后 展开 至 C 盘 根 目 录 , 得 到 文件 夹 openssl-0. 9. 6h。 根 目录 下 的 INSTALL. W32 包 
含 了 对 Windows 平台 下 编译 和 安装 的 详细 英文 说 明 ,下面 给 出 具体 编译 步骤 。 


1. 下 载 并 安装 ActivePerl 


下 载 地址 http://www. sogoz. info/down. asp? id 一 3683&no 王 13。Perl 在 这 里 的 
作用 主要 是 为 了 执行 Configure 脚本 文件 ,执行 完 后 , 它 也 就 不 再 起 作用 。 


2. 配置 编译 参数 


打开 控制 台 程 序 cmd, 在 OpenSSL 解压 后 的 目录 下 (C:\openssl-0. 9. 6h) 执行 Perl 
Configure VC-WIN32 命令 。 一定 要 在 此 目录 下 执行 该 命令 ,否则 会 找 不 到 Configure 
详 粹 5 


3， 生成 批 处 理 文件 


在 使 用 Perl 配置 好 configure 脚本 后 ,可 以 用 批 处 理 指 令 生成 编译 脚本 。 生 成 编译 
脚本 根据 采用 编译 器 的 不 同 通常 使 用 不 同 的 批 处 理 文件 。 使 用 VC 编译 的 时 候 , 有 三 种 
选择 do_ms、do_masm 和 do_nasm。 这 三 个 指令 任何 一 个 都 是 用 来 创建 一 系列 编译 脚本 
文件 (. mak) 。 这 里 推荐 使 用 do_ms 方式 。 在 解压 目录 下 执行 ms\do_ms。 


4. 代码 编译 


执行 完 do_ms 后 ,会 在 ms 目录 下 生成 一 系列 编译 脚本 文件 ,如 ntdll. mak。 这 步 将 
要 执行 的 代码 编译 虽然 指令 简单 ,只 有 一 句 nmake-f ms\ntdll. mak ,但 是 一 般 出 错 都 会 出 
现在 这 个 步骤 中 。 如 果 最 终 编译 成 功 ,最 后 的 输出 都 在 out32dll 目录 下 : 包括 可 执行 文 
件 、 两 个 dll 和 两 个 lib 文件 (libeay32. dll libeay32. lib .ssleay32. dll 和 ssleay32. lib) 。 把 
libeay32. dll 和 ssleay32. dll 复制 到 C:\WINDOWS\system32 下 。 

使 用 OpenSSL 一 般 有 两 种 方式 ,如 果 仅 仅 需 要 使 用 OpenSSL 的 指令 ,那么 应 用 程序 
部 分 就 能 满足 要 求 ,也 就 是 编译 后 名 为 openssl. exe 的 程序 。openssl. exe 是 一 个 集大成 
的 程序 ,通过 它 作 为 入口 ,可 以 调用 所 有 其 他 的 应 用 程序 。 如 果 需 要 使 用 OpenSSL API 
进行 编程 ,那么 需要 在 工程 中 加 入 其 相应 的 头 文件 .静态 库 和 动态 库 , 并 在 VC 中 设置 好 
环境 路 径 。 


12.4.4 SSL 通信 的 实现 


在 进行 OpenSSL 编程 之 前 ,要 先 做 好 一 项 前 期 准备 工作 ,就 是 生成 一 张 服务 器 的 
X. 509 证 书 ,缺乏 证 书 , 就 谈 不 上 SSL 编程 。 要 制作 服务 器 证 书 ,首先 必须 要 有 能 对 它 进 
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行 签 名 的 CA,OpenSSL 的 ca 指令 是 一 个 模拟 的 CA 服务 器 程序 。ca 指令 的 正常 运行 依 
赖 于 一 个 目录 结构 (demoCA) 和 一 个 OpenSSL 的 配置 文件 。 首 先 要 为 CA 创建 一 个 
RSA 私 钥 ,再 利用 CA 的 RSA 公 钥 创建 一 个 自 签署 的 CA 证 书 。 然 后 CA 为 服务 器 创建 
一 个 RSA 私 钥 chkey. pem, 并 用 chkey. pem 生成 证 书签 署 请 求 chcert. csr。 最 后 CA 就 
可 以 为 服务 器 签署 服务 器 证 书 。 

基于 OpenSSL 的 程序 可 以 被 分 为 两 个 部 分 : 客户 端 和 服务 器 ,SSL 通信 模型 采用 标 
准 的 C/S 结构 ,除了 在 TCP 层 上 进行 传输 之 外 ,与 普通 的 网 络 通信 协议 没有 太 大 的 区 
别 。 建 议 在 使 用 OpenSSL 进行 网 络 编程 之 前 , 先 查 看 ssl/s3_cjnt.c 和 ssl/s3_srvr.c 文 
件 。 基 于 OpenSSL 的 程序 都 要 遵循 以 下 几 个 步骤 。 

(1) OpenSSL 初始 化 :在 使 用 OpenSSL 之 前 ,必须 进行 相应 的 协议 初始 化 工作 ,可 以 
通过 下 面 的 函数 实现 : 


OpenSSL add ssl algorithms (void); 
或 
SSLeay add ssl algorithms (void); 


以 上 函数 都 是 调用 int SSL_library_init(void) 来 实现 ,其 作用 是 注册 各 种 可 用 的 密码 
和 消息 摘要 算法 。 

(2) 选择 会 话 协议 :在 利用 OpenSSL 开始 SSL 会 话 之 前 ,需要 为 客户 端 和 服务 器 制 
定 本 次 会 话 采 用 的 协议 ,目前 能 够 使 用 的 协议 包括 TLS v1、SSL v2、SSL v3、SSL v2/v3。 
需要 注意 的 是 ,客户 端 和 服务 器 必须 使 用 相互 兼容 的 协议 ,否则 SSL 会 话 将 无 法 正常 进 
行 。 使 用 函数 SSL_CTX * SSL_CTX_new(SSL_METHOD x method) 来 创建 SSL_ 
CTX 结构 ,参数 method 是 所 用 的 连接 方法 。 

(3) 创建 会 话 环境 :在 OpenSSL 中 创建 的 SSL 会 话 环境 称 为 CTX, 使 用 不 同 的 协议 
会 话 ,其 环境 也 不 一 样 。 使 用 到 如 下 一 些 功 能 的 函数 : 申请 SSL 会 话 环 境 的 函数 、 制 定 证 
书 验证 方式 的 函数 ,为 SSL 会 话 环境 加 载 CA 证 书 的 函数 ,为 SSL 会 话 加 载 用 户 证 书 的 
函数 以 及 为 SSL 会 话 加 载 用 户 私 钥 的 函数 。 

(4) 建立 SSL 套 接 字 :OpenSSL 编程 中 建立 的 SSL 套 接 字 是 建立 在 普通 的 TCP 套 
接 字 基础 之 上 ,通信 模型 类 似 于 Socket 的 通信 过 程 。 

客户 端 SSL 程序 : 


/* 生 成 一 个 ssL 结 构 */ 
meth= SSLV23 client method(); 


ctx=SSL CTX new (meth) 

351= SSL new (ctx); 

/* 下 面 是 正常 的 socket 过 程 */ 

fd- socket (); 

connect (); 

/* 把 建 好 的 socket 和 ssL 结构 联系 起 来 */ 


SSL set fd(ssl,fd); 
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服务 端 SSL 程序 : 


/* 生 成 一 个 SSL 结构 */ 

meth= SSLV23_server method(); 
ctx=SSL CTX new (meth); 
ssl=SSL new (ctx); 

/x 下面 是 正常 的 socket 过 程 */ 
fd= socket (); 

bind(); 

listen(); 

accept (); 

/* 把 建 好 的 socket 和 ssL 结 构 联系 起 来 */ 
SSL set fdl(ssl,fd); 


(5) 完成 SSL 握手 :在 成 功 创建 SSL 套 接 字 后 ,客户 端 应 使 用 函数 SSL_connect( ) 
替代 传统 的 函数 connect( ) 来 完成 握手 过 程 ,而 对 服务 器 来 讲 , 则 应 使 用 函数 SSL_ 
accept ( ) 替 代 传 统 的 函数 accept ( ) 来 完成 握手 过 程 。 

(6) 进行 数据 传输 : 当 SSL 握手 完成 之 后 ,就 可 以 进行 安全 的 数据 传输 ,在 数据 传输 
阶段 ,需要 使 用 SSL_read( ) 和 SSL_write( ) 来 替代 传统 的 read( ) 和 write( ) 困 数 ,完成 


对 套 接 字 的 读 写 操作 。 

(7) 结束 SSL 通信 : 当 客户 端 和 服务 器 之 间 的 数据 通信 完成 之 后 ,调用 下 面 的 函数 来 
释放 已 经 申请 的 SSL 资源 : 

int SSL_shutdown (SSL *ss1); // 关 闭 ssL 套 接 字 

void SSL free (SSL*ss1); // 释 放 ssL 套 接 字 

void SSL CTX free (SSL CTX*ctx); // 释 放 SsL 会 话 环境 


通信 框架 建立 完成 后 ,还 需要 实现 下 面 的 各 个 模块 : 

(1) 证 书 自 检 模 块 :证 书 自 检 模 块 属于 服务 器 。 服 务 器 在 初始 化 时 ,必须 先 校 验 自身 
要 发 布 的 证 书 ,是 否 和 自身 拥有 的 私 钥 对 应 ,如 果 匹 配 不 成 功 ,将 不 能 进行 SSL 连接 , 因 
为 必然 导致 失败 。 

(2) 解读 证 书 模块 :解读 证 书 模块 属于 客户 端 。 当 接收 到 服务 器 传送 来 的 证 书 , 需 要 
进行 解读 。 一 方面 是 解读 出 其 中 的 主体 信息 、 颁 发 者 信息 , 另 一 方面 是 提取 其 中 的 公 钥 并 
保存 。 

(3) 生成 会 话 密 钥 模块 :在 SSL 中 每 次 会 话 的 密 钥 要 求 随机 生成 ,不 是 唯一 的 ,这 就 
涉及 随机 数 的 问题 。 而 随机 数 一 般 通过 伪 随 机 函数 实现 , 选 定 比 较 好 的 种 子 来 源 , 基 本 上 
可 以 做 到 随机 的 效果 。OpenSSL 中 rand. h 中 提供 了 大 量 的 伪 随 机 函数 可 供 选 用 。 它 们 
形式 多 种 多 样 。 随 机 函数 的 种 子 可 以 是 某 个 文件 ,可 以 是 某 段 内 存 ,也 可 以 是 来 自 外 部 硬 
件 设备 等 。 

(4) RSA 模块 :在 客户 端 中 ,利用 证 书 中 获得 的 服务 器 公 钥 ,对 会 话 密 钥 进行 加 密 并 

(5) DES 模块 :OpenSSL 使 用 EVP 封装 了 所 有 的 对 称 加 密 算法 。 通 过 这 样 的 统一 
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的 封装 ,使 得 只 需要 在 初始 化 参数 的 时 候 做 很 少 的 改变 ,就 可 以 使 用 相同 的 代码 但 采用 不 
同 的 加 密 算法 进行 数据 的 加 密 和 解密 。 

(6) 散 列 校 验 模块 :OpenSSL 使 用 EVP 方式 封装 了 所 有 的 信息 摘要 算法 ,通过 这 种 
EVP 封装 , 当 使 用 不 同 的 信息 摘要 算法 时 ,只 需要 对 初始 化 参数 修改 一 下 就 可 以 了 。 服 
务 器 和 客户 端 对 于 会 话 密 钥 做 一 个 消息 摘要 ,发 送 给 对 方 ,各 自 对 比 散 列 值 是 否 相 同 , 不 
同 则 握手 失败 ,相同 则 握手 成 功 , 接 下 来 进入 会 话 阶段 。 

除了 OpenSSL 之 外 ,技术 开发 人 员 还 有 其 他 的 一 些 密码 算法 库 或 SSL 函数 库 可 选 。 
Crypto 十 十 就 是 著名 的 开放 源 代码 算法 库 之 一 ,该 库 使 用 C++ 语言 作为 开发 语言 ,但 是 
该 库 仅仅 实现 了 一 些 常 用 的 密码 算法 ,而 没有 实现 诸如 X. 509 标准 和 SSL 协议 ,其 功能 
仅仅 是 OpenSSL 的 一 个 子 集 ,而 且 没 有 文档 。 此 外 ,Microsoft 也 提供 了 一 个 密码 库 
CryptoAPI, 跟 几乎 大 部 分 的 Microsoft 产品 一 样 ,CryptoAPI 不 是 开放 源 代码 的 ,并 且 ， 
它 只 能 在 Windows 平台 使 用 。 

与 其 他 的 一 些 同 类 型 密码 库 相 比 ,OpenSSL 具有 以 下 优点 : 

(1) 采用 C 语言 开发 ,支持 多 种 操作 系统 ,可 移植 性 好 ,功能 全 面 , 支 持 大 部 分 主流 密 
码 算法 、 相 关 标 准 协议 和 SSL 协议 。 

(2) 开放 源 代 码 , 可 信任 ,能 够 根据 自己 的 需要 进行 修改 ,有 借鉴 和 研究 的 价值 。 

(3) 具备 应 用 程序 , 既 能 直接 使 用 ,也 可 以 方便 进行 二 次 开发 。 

(4) 免费 使 用 ,能 够 用 于 商业 和 非 商业 目的 。 

当然 ,OpenSSL 也 有 如 下 一 些 缺 点 : 

(1) 采用 非 面向 对 象 的 C 语言 开发 ,对 于 初学 者 有 一 定 的 困难 ,也 不 利于 代码 的 
剥离 。 

(2) 文档 不 全 面 ,增加 了 使 用 的 困难 性 。 

总 地 来 说 ,OpenSSL 是 一 个 非常 优秀 的 软件 包 , 很 值得 安全 技术 人 员 研 究 和 使 用 。 


12.5 SET 协议 
12.5.1 SET 概述 


电子 商务 已 引起 人 们 的 注意 , 它 被 公认 为 是 未 来 IT 业 最 具 潜 力 的 增长 点 。 电 子 商 
务 的 关键 是 保证 商业 活动 的 安全 性 , 像 传 统 方法 一 样 安全 可 靠 ,因此 如 何 保证 数据 传输 的 
安全 成 为 电子 商务 能 否 普及 的 最 重要 因素 之 一 。 

1996 年 2 月 ,美国 Visa 和 MasterCard 两 大 信用 卡 组 织 共 同 制定 了 应 用 于 Internet 
上 的 以 银行 卡 为 基础 进行 在 线 交 易 的 安全 标准 ,这 就 是 安全 电子 交易 (Secure Electronic 
Transaction ,SET) , 它 采 用 公 角 密码 体制 和 X. 509 v3 数字 证 书 标准 ,用 于 保护 Internet 
上 的 信用 卡 交 易 , 保 障 网 上 购物 信息 的 安全 性 。 最 初 开 发 时 涉及 的 公司 还 有 IBM、 
Microsoft、Netscape、RSA、Terisa 和 Verisign。 到 1998 年 ,第 一 个 与 SET 兼容 的 产品 
问世 。 

SET 本 身 并 不 是 一 个 支付 系统 ,而 是 一 个 安全 协议 和 格式 集 。SET 多 应 用 在 B2C 
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模式 中 ,协议 本 身 比较 复杂 ,设计 比较 严格 、 安 全 性 高 。 由 于 SET 提供 了 持 卡 人 、 商 家 和 
银行 之 间 的 认证 ,确保 了 交易 数据 的 机 密 性 、 认 证 性 、 完 整 性 和 不 可 否认 性 。 特 别 是 能 够 
保证 不 将 持 卡 人 银行 卡号 暴露 给 商家 ,而 只 将 它 提 供给 发 卡 银行 ,因此 它 成 为 了 目前 公认 
的 网 上 交易 的 国际 安全 标准 。SET 是 目前 唯一 保证 信用 卡 信息 能 安全 可 靠 地 通过 
Internet 传输 的 网 络 协议 ,是 PKI 框架 下 的 一 个 典型 实现 。 

SET 的 核心 技术 主要 有 公 钥 加 密 、 消 息 摘要 、 数 字 签 名 、 双 重 签名 、 数 字 信 封 .数字 证 
书 等 。SET 能 在 电子 交易 环节 上 提供 更 大 的 信任 度 、 更 完整 的 交易 信息 、 更 高 的 安全 性 
和 更 少 受 欺 诈 的 可 能 性 。SET 的 实现 架构 如 图 12.9 所 示 。 


me 全 


| 
居 

Payment Network 二 
银行 支付 网 关 


(Acquirer) (Payment Gateway) 


图 12.9 SET 的 实现 架构 


商家 
(Merchant) 


持 卡 人 
{Cardholder) 


证 书 管理 机 构 
(Certificate 
Authority) 


发 卡 机 构 


(lssuer) 


SET 协议 中 有 如 下 参与 方 : 

(1) 持 卡 人 : 需要 有 一 台 PC 并 安装 浏览 器 ,安装 一 套 符合 SET 标准 的 电子 钱包 软 
件 ,从 发 卡 机 构 获 取 一 张 支付 卡 ,从 认证 机 构 获 取 一 张 数 字 证 书 。 持 卡 人 使 用 由 发 卡 机 构 
颁发 的 支付 卡 (如 由 MasterCard、Visa 发 行 ) 进 行 结算 。 在 持 卡 人 和 商家 的 会 话 中 ,SET 
可 以 保证 持 卡 人 的 个 人 账号 信息 不 被 泄露 。 

(2) 发 卡 机 构 : 它 是 一 个 向 持 卡 人 提供 支付 卡 的 金融 机 构 ,为 每 一 个 建立 账户 的 顾 
客 颁 发 支付 卡 , 保 证 对 每 一 笔 认 证 交易 的 付款 。 

(3) 商家 : 提供 商品 或 服务 的 个 人 或 组 织 ,使 用 SET, 就 可 以 保证 持 卡 人 个 人 信息 的 
安全 。 接 受 支付 卡 支付 的 商家 必须 和 银行 有 关系 。 

(4) 银行 : 在 线 交 易 的 商家 在 银行 开 立 账号 ,并 且 处 理 支付 卡 的 认证 和 支付 。 银 行 
向 商家 提供 给 定 卡号 是 否 合法 和 信用 卡 的 消费 限额 等 信息 。 

(5) 支付 网 关 : 可 以 由 银行 或 第 三 方 操作 的 ,将 Internet 上 传输 的 数据 转换 为 金融 机 
构 内 部 数据 的 设备 ,并 处 理 商 家 支付 信息 和 顾客 的 支付 指令 。 支 付 网 关 是 SET 和 银行 卡 
支付 网 络 的 接口 ,提供 认证 和 支付 功能 。 

(6) 证 书 管理 机 构 : 为 持 卡 人 、 商 家 和 支付 网 关 发 行 X. 509 v3 数字 证 书 。SET 的 成 
功 依 赖 于 证 书 管理 机 构 CA 的 存在 。 
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SET 交易 发 生 的 先决 条 件 是 ,每 个 持 卡 人 (客户 ) 必 须 拥 有 一 个 唯一 的 数字 证 书 , 且 
由 客户 确定 口令 ,并 用 这 个 口令 对 数字 证 书 、 私 钥 、 信 用 卡号 码 及 其 他 信息 进行 加 密 存储 ， 
这 些 与 符合 SET 协议 的 软件 一 起 组 成 了 客户 的 一 个 SET 电子 钱包 。 电 子 钱包 的 功能 
为 : 管理 数字 证 书 的 申请 、 存 储 及 删除 ,进行 SET 交易 时 辨认 商家 身份 并 发 送 交 易 信 息 ， 
保存 每 一 笔 交 易 记 录 以 供 日 后 查询 。 有 了 电子 钱包 后 ,一 个 成 功 的 SET 交易 的 标准 流程 
如 下 : 

(1) 客户 在 网 上 商店 选中 商品 并 决定 使 用 电子 钱包 付款 ,商家 服务 器 上 的 POS 软件 
发 送 报 文 给 客户 的 浏览 器 要 求 电子 钱包 付款 。 

(2) 电子 钱包 提示 客户 输入 口令 后 与 商家 服务 器 交换 “握手 ”消息 ,确认 客户 、 商 家 均 
为 合法 ,初始 化 支付 请 求 和 支付 响应 。 

(3) 客户 的 电子 钱包 形成 一 个 包含 购买 订单 、 支 付 信息 (内 含 加 密 的 客户 信用 卡号 
码 ) 的 报 文 发 送 给 商家 。 此 时 SET 开始 介入 ,在 SET 中 ,购买 订单 和 支付 信息 由 客户 进 
行 数字 签名 ,同时 使 用 双重 签名 技术 对 购买 订单 和 支付 信息 分 别 签 名 ,以 保证 商家 只 能 看 
到 购买 订单 ,看 不 到 支付 信息 中 的 客户 账号 (信用 卡号 码 ) 信 息 。 

(4) 商家 POS 软件 生成 授权 请 求 报 文 ( 内 含 客户 的 支付 命令 ) ,发 给 收 单 银行 的 支付 
网 关 。 

(5) 支付 网 关 在 确认 客户 信用 卡 没有 超过 透支 额度 的 情况 下 ,生成 扣 款 信息 发 送 给 
相应 银行 ,再 到 发 卡 机 构 确认 后 ,银行 向 支付 网 关 发 送 扣 款 应 答 , 然 后 支付 网 关 向 商家 发 
送 一 个 支付 响应 报 文 。 

(6) 商家 向 客户 的 电子 钱包 发 送 一 个 购买 响应 报 文 , 交 易 结束 ,客户 等 待 商 家 送 货 
EE 

(7) 商家 将 此 次 的 或 成 批 的 客户 支付 请 求 发 给 支付 网 关 , 由 支付 网 关 处 理 所 有 的 支 
付 操作 ,最 终 由 银行 将 货款 由 客户 的 账户 转移 到 商家 的 账户 。 

在 SET 交易 的 每 一 步 ,客户 、 商 家 、 支 付 网 关 都 通过 CA 来 验证 通信 主体 的 身份 ,以 
确保 通信 的 对 方 不 是 假冒 的 ,SET 协议 充分 发 挥 了 CA 的 作用 。 


12.5.2 SET 的 优 缺 点 


从 工作 流程 来 看 ,SET 具有 以 下 几 个 优点 : 

(1) 解决 了 客户 资料 的 安全 性 问题 ,虽然 客户 资料 (主要 是 信用 卡号 码 ) 要 通过 商家 
到 达 银 行 ,但 商家 不 能 阅读 这 些 资料 。 

(2) 解决 了 客户 与 银行 、 客 户 与 商家 、 商 家 与 银行 之 间 的 多 方 认证 问题 ,将 信用 卡 业 
务 安全 地 扩展 到 Internet 这 个 广阔 空间 ,从 而 使 其 比 其 他 支付 方式 具有 更 大 的 竞争 力 。 

(3) 所 有 的 支付 过 程 都 是 在 线 的 ,保证 了 网 上 交易 的 实时 性 。 

(4) SET 协议 和 格式 与 硬件 平台 、 操 作 系 统 和 Web 软件 无 关 。SET 直接 在 TCP/IP 
栈 上 实现 安全 访问 , 且 与 其 他 安全 机 制 ,如 IPSec 和 SSL 的 使 用 不 冲突 。 

尽管 SET 协议 有 许多 优点 ,但 目前 其 应 用 并 不 多 ,主要 存在 以 下 问题 ， 

(1) SET 协议 复杂 , 且 只 适用 于 客户 安装 了 电子 钱包 的 场合 。SET 应 用 软件 设计 复 
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杂 、 价 格 高 ,影响 了 SET 的 普及 。 

(2) 使 用 SET 协议 ,在 一 次 交易 中 要 完成 多 次 加 解密 操作 ,要 求 商家 的 服务 器 有 很 
高 的 处 理 能 力 。 

(3) SET 涉及 的 实体 较 多 ,每 个 实体 都 必须 同时 支持 SET, 互 操作 性 较 差 。 

(4) SET 是 针对 用 卡 支付 的 网 上 交易 而 设计 的 支付 规范 ,不 用 卡 支付 的 交易 方式 则 
与 SET 无 关 。 

同 SSL 相 比较 ,SET 有 这 样 一 些 区 别 : 

(1) SET 协议 比 SSL 协议 复杂 , 它 远 远 不 止 是 一 个 技术 方面 的 协议 , 它 还 说 明了 每 
一 方 所 持 有 的 数字 证 书 的 含义 ,希望 得 到 数字 证 书 以 及 响应 信息 的 各 方 应 有 的 动作 ,与 一 
笔 交易 紧密 相关 的 责任 分 担 。SET 的 实现 非常 复杂 ,使 用 成 本 高 ,商家 和 银行 都 需要 改 
造 系统 以 实现 互 操作 ,并 且 还 需要 认证 中 心 的 支持 。 

(2) SET 可 以 实现 参与 交易 的 实体 多 方 的 身份 认证 , 它 要 求 所 有 成 员 都 必须 申请 数 
字 证 书 ;而 SSL 中 对 客户 的 认证 是 可 选 的 ,更 不 能 实现 多 方 认 证 。 

(3) SET 是 一 个 多 方 的 报 文 协 议 , 它 定义 了 银行 、 商 家、 持 卡 人 之 间 的 必需 的 报 文 规 
范 。SSL 只 是 简单 地 在 两 方 之 间 建 立 一 条 安全 连接 ,因而 在 Web 服务 中 应 用 广泛 。 

(4) SSL 是 面向 连接 的 ,而 SET 允许 各 方 之 间 的 报 文 交换 不 是 实时 的 。 

(5) SET 报 文 能 够 在 银行 内 部 网 或 者 其 他 网 络 上 传输 ,而 SSL 之 上 的 卡 支 付 系 统 只 
能 与 Web 浏览 器 绑 定 在 一 起 。 

(6) SSL 相对 不 安全 ,不 能 提供 交易 的 不 可 否认 性 ,也 不 是 专 为 支持 电子 商务 而 
设计 。 


习题 
1. 简 述 主动 攻击 与 被 动 攻击 的 特点 ,并 列举 主动 攻击 与 被 动 攻击 方法 。 


2. Web 服务 有 哪些 主要 的 安全 隐患 ? 
3. 比较 Java Applet 和 ActiveX 所 使 用 的 安全 机 制 的 不 同 。 相 对 来 说 , 哪 种 安全 机 


制 更 安全 ? 

4. 分 别 男 述 在 网 络 层 、 传 输 层 和 应 用 层 实 现 Web 安全 的 方法 ,它们 各 有 哪些 优 
缺点 。 

5. 最 初 设计 SSL 时 ,主要 是 保证 哪个 应 用 的 安全 性 ? 它 能 实现 哪些 安全 性 ? 它 为 什 
么 不 能 实现 发 送 端的 不 可 否认 ? 


6. SSL 主要 包括 哪儿 个 子 协议 ?其 中 哪 两 个 是 主要 的 ? 它们 分 别 完成 什么 功能 ? 
7. SSL 是 如 何 结合 使 用 对 称 加 密 算法 和 公开 加 密 算法 的 ? 
. 结合 图 形 简单 阐述 SSL 记录 协议 的 操作 步 又。 
9. SSL 握手 协议 分 为 哪 3 个 阶段 ? 每 一 阶段 各 实现 什么 功能 ? 每 一 阶段 都 使 用 了 
哪些 消息 完成 相应 的 功能 ? 
10. 假设 甲 需要 发 送 一 份 机 密 文件 (如 Secret. txt) 给 乙 , 简 述 甲乙 双方 采用 SSL 协 
议 来 安全 发 送 和 接收 文件 的 主要 封装 过 程 。 
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1. 试 比 较 在 Socket 通信 连接 和 在 SSL 协议 下 建立 的 安全 连接 有 什么 相同 和 不 同 
之 处 。 
2. 试 着 在 Windows 环境 中 建立 基于 OpenSSL 的 安全 通信 过 程 。 

3. 电子 商务 的 安全 协议 的 标准 是 什么 ? 它 的 哪个 特点 使 其 成 为 目前 公认 的 网 上 交 
易 的 国际 安全 标准 ? 

4. 在 SET 协议 中 有 哪些 角色 ,这 些 角色 各 有 什么 作用 ? 

15, SET 协议 中 引入 双重 签名 的 目的 是 什么 ? 

6. 简 述 为 什么 在 SET 协议 下 支付 是 安全 的 。 

7. 说 明 SET 协议 与 SSL 协议 在 电子 商务 应 用 上 的 不 同 。 
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第 13 章 ”防火墙 技 术 


13.1 防火 墙 的 基本 概念 
13.1.1 定义 


防火 墙 是 一 种 装置 , 它 是 由 软件 /硬件 设备 组 合 而 成 ,通常 处 于 企业 的 内 部 局 域 网 与 
Internet 之 间 ,限制 Internet 用 户 对 内 部 网 络 的 访问 以 及 管理 内 部 用 户 访问 Internet 的 权 
限 。 换 言 之 ,一 个 防火 墙 在 一 个 被 认为 是 安全 和 可 信 的 内 部 网 络 和 一 个 被 认为 是 不 那么 安 
全 和 可 信 的 外 部 网 络 (通常 是 Internet) 之 间 提 供 一 个 隔离 工具 ,是 一 个 网 络 边界 安全 系统 。 

主要 有 如 下 几 种 类 型 的 防火 墙 : 操作 系统 自 带 的 过 滤 规 则 .个 人 防火 墙 、 网 络 防火 
堵 、 硬 件 防 火 墙 、 专 用 软件 防火 墙 。 许 多 网 络 设备 也 含有 简单 的 防火 墙 功能 ,如 路 由 器 、. 调 
制 解 调 器 无 线 基站 IP 交换 机 等 。 防 火 墙 在 网 络 中 的 位 置 如 图 13. 1 所 示 。 


= 
防火 墙 


图 13.1 防火 墙 在 网 络 中 的 位 置 


如 果 没 有 防火 墙 , 则 整个 内 部 网 络 的 安全 性 完全 依赖 于 每 个 主机 ,因此 ,所 有 的 主机 
都 必须 达到 一 致 的 高 度 安全 水 平 , 这 在 实际 操作 时 非常 困难 。 而 防火 墙 被 设计 为 只 运行 
专用 的 访问 控制 软件 的 设备 ,没有 其 他 普通 主机 运行 的 服务 (如 rlogin 等 ) ,因此 也 就 意味 
着 相对 少 一 些 缺 陷 和 安全 漏洞 ,这 就 使 得 安全 管理 变 得 更 为 方便 ,易于 控制 ,也 会 使 内 部 
网 络 更 加 安全 。 注 意 , 那 些 与 防火 墙 功能 不 相关 但 又 可 能 给 防火 墙 自身 带 来 安全 威胁 的 
网 络 服务 和 应 用 程序 ,都 不 应 该 运行 在 防火 墙 上 。 

防火 墙 所 遵循 的 原则 是 在 保证 网 络 畅通 的 情况 下 , 尽 可 能 保证 内 部 网 络 的 安全 。 它 
是 一 种 被 动 的 技术 ,是 一 种 静态 安全 部 件 。 虽然 防火 墙 的 设计 不 可 能 做 到 万 无 一 失 , 它 也 
可 能 存在 安全 漏洞 .但 是 在 抵御 攻击 方面 ,防火 墙 具 有 不 可 替代 的 优势 。 
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13.1.2 防火 墙 应 满足 的 条 件 


作为 网 络 间 实 施 网 间 访 问 控制 的 一 组 组 件 的 集合 ,防火 墙 应 满足 的 基本 条 件 
如 下 : 

(1) 内 部 网 络 和 外 部 网 络 之 间 的 所 有 数据 流 必 须 经 过 防火 墙 。 所 以 对 于 不 通过 防火 
墙 的 流量 ,防火 墙 无 法 监控 。 例 如 ,防火 墙 不 能 处 理 通过 拨号 .3GV4G 蜂窝 网 络 连接 互联 
网 而 发 动 的 攻击 ,也 不 能 处 理 内 部 攻击 。 

(2) 只 有 符合 安全 策略 的 数据 流 才 能 通过 防火 墙 。 

(3) 防火 墙 自身 具有 高 可 靠 性 ,应 对 渗透 (penetration) 免 疫 , 即 它 本 身 是 不 可 被 侵入 
的 ,否则 黑客 就 相当 于 进入 内 网 。 

根据 安全 策略 ,防火 墙 对 数据 流 的 处 理 方式 有 三 种 : 

@ 允许 数据 流通 过 。 

@ 拒绝 数据 流通 过 。 

@ 将 这 些 数 据 流 丢弃 。 

当 数 据 流 被 拒绝 时 ,防火 墙 要 向 发 送 者 回复 一 条 消息 ,提示 发 送 者 该 数据 流 已 被 拒 
绝 。 当 数据 流 被 丢弃 时 ,防火 墙 不 会 对 这 些 数据 包 进 行 任何 处 理 , 也 不 会 向 发 送 者 发 送 任 
何 提示 信息 。 从 安全 角度 考虑 ,防火 墙 应 该 采用 丢弃 数据 包 的 做 法 而 不 是 拒绝 数据 包 。 
因为 丢弃 数据 包 的 做 法 加 长 了 网 络 扫描 所 花费 的 时 间 , 发 送 者 只 能 等 待 回应 ,直至 通信 
超时 。 


13.1.3 防火墙 的 功能 


防火 墙 的 功能 主要 包括 下 面 儿 个 方面 : 

(1) 隔离 不 同 的 网 络 , 限 制 安全 问题 的 扩散 ,对 安全 集中 管理 ,简化 安全 管理 的 复杂 
程度 。 相 对 于 内 部 网 络 的 普通 用 户 来 说 ,网 络 管理 员 关 注 的 是 整个 网 络 的 安全 ,所 以 他 可 
以 通过 对 防火 墙 进行 精心 配置 ,使 整个 网 络 获得 较 高 的 安全 性 。 

(2) 防火 墙 可 以 方便 地 记录 网 络 上 的 各 种 非法 活动 (尤其 是 经 过 防火 墙 的 数据 包 )， 
监视 网 络 的 安全 性 , 遇 到 紧急 情况 报警 。 

(3) 防火 墙 可 以 作为 部 署 网 络 地 址 转换 (Network Address Translation, NAT) 的 地 
点 ,利用 NAT 技术 ,将 有 限 的 公有 IP 地 址 动态 或 静态 地 与 内 部 的 私有 IP 地 址 对 应 起 
来 ,用 来 缓解 地 址 空间 短缺 的 问题 或 者 隐藏 内 部 网 络 的 结构 。 

(4) 防火 墙 是 审计 和 记录 Internet 使 用 费用 的 一 个 最 佳 地 点 。 

(5) 防火 墙 也 可 以 作为 IPSec 的 平台 。 

(6) 内 容 控 制 功能 。 根 据 数据 内 容 进行 控制 ,例如 ,防火 墙 可 以 从 电子 邮件 中 过 滤 掉 
垃圾 邮件 ,还 可 以 过 滤 掉 内 部 用 户 访问 外 部 服务 的 图 片 信息 。 只 有 代理 服务 器 和 先进 的 
过 滤 在 理解 高 层 协议 内 容 的 情况 下 ,才能 实现 这 种 功能 。 
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13.1.4 防火 墙 的 局 限 性 


(1) 网 络 上 有 些 攻击 可 以 绕 过 防火 墙 , 如 拨号 攻击 可 以 绕 过 防火 墙 ,造成 一 个 潜在 的 
攻击 渠道 。 而且 黑客 通过 拨号 进入 网 络 后 ,还 可 以 更 进一步 从 网 络 内 部 对 防火 墙 和 内 部 
主机 发 动 攻击 。 

(2) 防火 墙 不 能 防范 来 自 内 部 网 络 的 攻击 。 因 为 这 种 攻击 没有 经 过 防火 墙 ,所 以 防 
火 墙 无 法 阻止 。 

(3) 内 部 用 户 可 能 会 过 于 信任 和 依赖 防火 墙 , 而 忽视 增强 自身 系统 的 安全 性 。 因 此 ， 
在 采用 防火 墙 将 内 部 网 络 与 外 部 网 络 加 以 隔离 的 同时 ,还 应 确保 内 部 网 络 中 的 关键 主机 
具有 足够 的 安全 性 。 

(4) 防火 墙 不 能 完全 防止 后 门 攻击 。 某 些 基于 网 络 隐 项 通道 的 后 门 能 绕 过 防火 墙 的 
检测 ,如 HTTP tunnel 等 。 

(5) 防火 墙 不 能 对 被 病毒 感染 的 程序 和 文件 的 传输 提供 保护 ,还 要 在 每 台 主 机 上 安 
装 病毒 防 杀 工 具 。 即 使 让 防火 墙 同时 具有 病毒 查 杀 的 功能 , 它 也 会 因此 成 为 网 络 中 最 大 
的 瓶颈 。 

(6) 防火 墙 的 过 滤 规 则 是 静态 的 ,是 在 已 知 的 攻击 模式 下 制定 的 ,因此 不 能 防范 全 新 
的 网 络 威胁 。 

(7) 当 使 用 端 到 端的 加 密 时 ,防火 墙 的 作用 会 受到 很 大 的 限制 , 即 与 虚拟 专用 网 的 结 
合 使 用 存在 问题 。 

(8) 防火 墙 对 用 户 不 完全 透明 ,可 能 带 来 传输 延迟 ,在 高 速 网 络 中 存在 瓶颈 以 及 单 点 
失效 (如 被 拒绝 服务 攻击 而 降级 为 普通 路 由 器 ) 等 问题 。 

(9) 防火 墙 不 能 防止 数据 驱动 式 攻击 。 有 些 表面 无 害 的 数据 通过 电子 邮件 (一 般 是 
邮件 附件 ?或 缓冲 区 溢出 攻击 等 方式 发 送 到 主机 上 ,一 旦 被 执行 就 形成 攻击 。 而 基于 主机 
的 人 侵 检测 系统 就 能 检测 出 数据 驱动 式 攻击 。 


13.2 ”防火墙 的 类 型 与 技术 
13.2.1 包 过 滤 防 火 墙 


包 过 滤 防 火 墙 也 称 分 组 过 滤 路 由 器 ,又 叫 网 络 层 防火 墙 , 因 为 它 是 工作 在 网 络 层 。 路 
由 器 便 是 一 个 网 络 层 防 火 墙 , 因 为 包 过 滤 是 路 由 器 的 固有 属性 。 包 过 滤 是 最 基本 、 最 早期 
的 防火 墙 技术 ,诞生 于 1989 年 。Cisco 公司 的 IOS 防火 墙 也 是 一 种 包 过 滤 防 火 墙 。 它 一 
般 不 检查 数据 包 的 数据 内 容 , 只 检查 数据 包 包头 中 的 地 址 ,协议 .端口 等 信息 来 决定 是 否 
允许 此 数据 包 通 过 ,有 静态 和 动态 两 种 过 滤 方 式 。 

静态 包 过 滤 防 火 墙 将 内 外 网 之 间 传输 的 数据 包 的 内 容 同事 先 设 定 的 规则 表 进 行 比 
较 , 在 规则 表 中 定义 了 各 种 过 滤 规 则 来 表明 是 否 允 许 或 拒绝 包 的 通过 。 这 种 防火 墙 同 时 
过 滤 从 内 网 到 外 网 和 从 外 网 到 内 网 两 个 方向 上 的 数据 包 。 一 般 来 说 ,过 滤 规 则 设置 的 默 
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认 原 则 可 以 是 如 下 两 种 之 一 : 

(1) 默认 拒绝 : 只 有 规则 允许 的 数据 包 才 可 以 通过 防火 墙 ,其 他 都 不 能 通过 。 这 是 
一 种 非常 实用 的 方法 ,也 更 加 安全 ,但 用 户 所 能 使 用 的 服务 范围 受到 严格 限制 。 

(2) 默认 人 允许: 只 有 规则 拒绝 的 数据 包 才 不 可 通过 防火 墙 ,其 他 都 可 以 通过 。 这 种 
方法 构成 了 一 种 更 为 灵活 的 应 用 环境 ,可 为 用 户 提供 更 多 的 服务 ,但 很 难 提供 可 靠 的 安全 
保护 。 

包 过 滤 防 火 墙 按照 顺序 检查 每 一 条 规则 ,直至 发 现 包 中 的 信息 与 某 规则 匹配 才 允 许 
数据 包 通 过 。 如 果 没 有 一 条 规则 能 符合 ,防火 墙 就 会 使 用 默认 规则 (一 般 是 丢弃 该 包 )。 
在 制定 数据 包 过 滤 规 则 时 ,一 定 要 注意 数据 包 是 双向 的 。 

例如 , 想 允 许 某 个 主机 访问 Telnet 服务 器 ,但 是 设置 过 滤 规则 时 若 只 允许 Telnet 的 
命令 请 求 能 通过 ,而 没有 人 允许 返回 的 数据 包 通 过 ,这 样 还 是 不 能 实现 访问 的 。 同 样 当 想 禁 
止 某 个 用 户 访问 Telnet 服务 器 时 ,设置 单 向 禁止 规则 也 是 没有 用 的 ,入 侵 有 时 也 还 是 有 
可 能 得 逮 的 。 

静态 包 过 滤 的 判断 依据 有 (网 络 层 只 考虑 使 用 IP 协议 的 包 ): 
数据 包 协 议 类 型 TCP、UDP、ICMP、IGMP 等 。 

源 / 目 的 IP 地 址 。 

源 / 目 的 端口 FTP .HTTP、DNS 等 。 

IP 选项 : 源 路 由 .记录 路 由 等 。 

TCP 选项 SYN、ACK FIN RST 等 。 

其 他 协议 选项 ICMP ECHO ICMP REPLY 等 。 
数据 包 流 向 in 或 out。 

数据 包 流 经 网 络 接口 eth0 .ethl 。 

静态 包 过 滤 防 火 墙 有 如 下 缺陷 : 

(1) 通常 不 能 对 付 某 些 类 型 的 拒绝 服务 攻击 。 当 今 Internet 上 流行 的 许多 拒绝 服务 
攻击 都 是 基于 包 损 坏 .SYN Flood 或 产生 其 他 基于 TCP/IP 的 异常 ,而 静态 包 过 滤 防 火 墙 
不 是 为 处 理 这 类 攻击 设计 的 。 

(2) 静态 包 过 滤 防 火 墙 不 能 跟踪 会 话 的 状态 数据 。 为 了 正确 地 处 理 TCP 会 话 和 会 
话 协 商 ,管理 员 被 迫 开 放 所 有 1024 以 上 的 端口 。 虽 然 理 论 上 这 不 是 一 个 巨大 的 安全 隐 
患 , 但 是 把 不 使 用 的 端口 对 外 开放 毕竟 不 是 个 好 习惯 。 

(3) 支持 极 繁忙 网 络 的 包 过 滤 防 火 墙 会 引起 网 络 性 能 降级 和 更 高 的 CPU 负载 。 但 
是 对 较 低 端 路 由 器 上 的 大 多 数 低速 连接 来 说 ,正常 的 包 过 滤 不 会 给 路 由 器 造成 严重 的 


. 


13.2.2 状态 检测 防火 墙 


状态 检测 (stateful inspection) 又 称 动态 包 过 滤 , 所 以 状态 检测 防火 墙 又 称 动态 防火 
墙 。 状 态 检测 最 早 由 CheckPoint 公司 提出 ,是 在 静态 包 过 滤 上 的 功能 扩展 。CheckPoint 
公司 的 Firewall- 工 .Cisco 公司 的 PIX 等 都 是 状态 检测 防火 墙 。 
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静态 包 过 滤 由 于 缺少 “状态 感知 ”(state aware) 能 力 而 无 法 识别 连接 请 求 的 主动 方 和 
被 动 方 在 访问 行为 上 的 差别 ,因此 在 遇 到 利用 动态 端口 的 协议 时 会 发 生 困难 ,如 FTP, 防 
火 墙 事先 无 法 知道 哪些 端口 需要 打开 ,就 需要 将 所 有 可 能 用 到 的 端口 打开 ,会 给 安全 带 来 
不 必要 的 隐患 。 

而 状态 检测 通过 检查 应 用 程序 信息 (如 FTP 的 PORT 和 PASYV 命令 ) ,来 判断 此 端 
口 是 否 需要 临时 打开 ,而 当 传输 结束 时 ,端口 又 马上 恢复 为 关闭 状态 。 

状态 检测 是 一 种 相当 于 4、5 层 的 过 滤 技 术 , 相 对 于 包 过 滤 来 说 可 以 收集 并 检查 许多 
状态 信息 ,从 而 增加 了 过 滤 的 准确 性 。 它 不 仅 提供 了 比 包 过 滤 防 火 墙 更 高 的 安全 性 和 更 
灵活 的 处 理 , 几 乎 支持 所 有 服务 ,也 避免 了 应 用 层 网 关 的 速度 降低 问题 。 

要 实现 状态 检测 防火 墙 ,最 重要 的 是 实现 “连接 ”的 跟踪 功能 ,并 且 根 据 需 要 可 “动态 ” 
地 在 过 滤 规 则 中 增加 或 更 新 条 目 。 防 火 墙 应 当 包含 关于 数据 包 最 近 通 过 它 的 “状态 信 
息 ”, 以 决定 是 否 让 来 自 Internet 的 包 通 过 或 丢弃 。 

状态 检测 技术 采用 的 是 一 种 基于 连接 的 状态 检测 机 制 ,将 属于 同一 个 连接 的 所 有 包 
作为 一 个 数据 流 的 整体 看 待 。 状 态 检测 在 防火 墙 的 核心 部 分 建立 数据 包 的 连接 状态 表 ， 
对 在 内 外 网 之 间 传 输 的 数据 包 从 会 话 角度 进行 监测 ,利用 状态 表 跟 踪 每 一 个 会 话 状态 , 记 
录 有 用 的 信息 以 帮助 识别 不 同 的 会 话 。 

例如 ,对 内 部 主机 到 外 部 主机 的 连接 请 求 ,状态 检 测 防火 墙 会 加 以 标注 ,允许 从 外 部 
响应 此 请 求 的 数据 包 以 及 随后 两 台 主 机 间 传 输 的 数据 包 直 接 通 过 ,直到 此 连接 中 断 为 止 。 
而 对 由 外 部 发 起 的 企图 连接 内 部 主机 的 数据 包 则 全 部 丢弃 ,因此 状态 检测 防火 墙 提 供 了 


完整 的 对 传输 层 的 控制 能 力 。 
下 面 以 对 SYN 十 ACK 扫描 包 的 过 滤 为 例 说 明 状 态 检 测 防 火 墙 相对 静态 包 过 滤 防 火 
墙 的 优越 性 : 


(1) 静态 包 过 滤 防 火 墙 不 能 判断 SYN 十 ACK 包 是 对 内 部 向 外 请 求 (往往 请 求 80 端 
口 ) 的 应 答 ,还 只 是 外 部 扫描 内 部 的 一 个 单独 数据 包 。 所 以 为 了 保证 通信 的 畅通 , 它 会 让 
这 个 数据 包 通 过 ,也 就 是 该 扫描 数据 包 能 通过 静态 包 过 滤 防 火 墙 。 

(2) 状态 检测 防火 墙 能 记 住 在 此 数据 包 进入 之 前 ,内 部 用 户 是 否 发 送 过 对 该 外 部 主机 
80 端口 的 一 个 TCP SYN 连接 请 求 , 如 果 事 先 有 请 求 则 允许 该 SYN 十 ACK 应 答 包 进入 ;对 
于 现在 的 这 种 扫描 行为 ,因为 事先 内 部 主机 没有 相应 请 求 , 则 不 允许 该 SYN 十 ACK 包 进 入 。 

相对 静态 包 过 滤 防 火 墙 来 说 ,状态 检测 防火 墙 对 每 一 个 会 话 的 记录 、 分 析 工作 可 能 会 造 
成 网 络 速度 变 慢 , 当 存在 大 量 的 过 滤 规 则 时 尤为 明显 ,但 采用 硬件 实现 方式 可 有 效 改善 这 方 
面 的 缺陷 。 同 时 从 另 一 个 角度 来 说 ,状态 检测 防火 墙 对 属于 同一 合法 连接 请 求 的 后 续 的 所 
有 数据 包 不 再 进行 过 滤 检 查 ,在 一 定 程度 上 提高 了 过 滤 的 性 能 ,弥补 了 速度 的 不 足 。 

包 过 滤 防 火 墙 和 状态 检测 防火 墙 都 属于 网 络 层 防火 墙 ,网 络 层 防火 墙 的 优点 是 实现 
比较 简单 .速度 快 、 费 用 低 ,甚至 不 需要 购买 专门 设备 ,并 且 对 用 户 透 明 应 用 广泛 。 但 它 
也 有 不 少 缺 点 : 

。 过 滤 规 则 制定 起 来 比较 复杂 ,容易 出 现 因 配置 不 当 带 来 问题 如 果 过 滤 规 则 简 

单 , 则 安全 性 差 ;如 果 过 滤 规 则 复杂 , 则 管理 困难 。 
。 它 只 检查 地 址 和 端口 ,允许 数据 包 直 接 通过 ,而 源 地 址 和 源 端 口 是 可 以 伪造 的 。 
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。 不 能 彻底 防止 地 址 欺骗 攻击 ,微小 分 片 攻击 。 

。 容易 造成 数据 驱动 式 攻击 、 隐 藏 通道 攻击 的 潜在 危险 。 

。 不 能 理解 特定 服务 的 内 容 , 也 只 能 进行 主机 级 认证 。 

。 有 些 协议 不 适合 使 用 包 过 滤 ,如 FTP。 

但 是 现在 已 经 有 一 些 在 网 络 层 重组 应 用 层 数据 的 技术 ,从 而 可 以 对 应 用 层 数 据 进 行 
检查 ,可 以 辨认 一 些 入 侵 活动 ,达到 很 好 的 防护 效果 。 


13.2.3 应 用 层 网 关 


应 用 层 网 关 主要 工作 在 应 用 层 ,又 称 为 应 用 层 防 火 墙 。 它 检查 进出 的 数据 包 , 通 过 自 
身 复制 传递 数据 ( 即 直 接 路 由 转发 ) ,防止 在 受信 主机 与 非 受 信 主 机 间 直 接 建立 联系 。 它 
的 基本 工作 过 程 是 : 当 客户 机 需要 使 用 服务 器 上 的 数据 时 ,首先 将 数据 请 求 发 给 代理 服 
务 器 ,代理 服务 器 再 根据 这 一 请 求 向 服务 器 索取 数据 ,然后 由 代理 服务 器 将 来 自 服务 器 的 
数据 返回 给 客户 机 。 在 这 个 过 程 中 ,应 用 层 网 关上 运行 的 代理 程序 会 对 数据 包 的 内 容 进 
行 逐 个 检查 和 过 滤 。 

常用 的 应 用 层 网 关 已 有 相应 的 代理 服务 软件 ,如 HTTP、SMTP、FTP、Telnet 等。 但 
是 对 于 新 开发 的 应 用 , 尚 没有 相应 的 代理 服务 ,它们 只 能 使 用 网 络 层 防火 墙 和 一 般 的 代理 
服务 (如 位 于 会 话 层 的 Socks v5)。 

应 用 层 网 关 能 够 检查 的 数据 更 多 ,因此 有 较 好 的 访问 控制 能 力 , 是 目前 最 安全 的 防火 
墙 技术 。 它 能 够 理解 应 用 层 的 协议 ,易于 记录 并 控制 所 有 的 进出 通信 。 应 用 层 网 关 具 有 
很 强 的 日 志 、 统 计 和 报告 功能 .有 很 好 的 审计 功能 。 它 还 能 够 提供 内 容 过 滤 ,用户 认证 页 
面 缓存 和 网 络 地址 转换 等 功能 。 总 之 , 它 能 够 在 很 大 程度 上 避免 网 络 层 防 火 墙 的 许多 缺 
点 ,如 降低 了 遭受 隐藏 通道 攻击 .恶意 代码 攻击 所 带 来 的 风险 。 

但 它 的 实现 麻烦 ,有 的 应 用 层 网 关 缺 乏 “ 透 明度 ”。 应 用 层 网 关 的 每 一 种 协议 需要 相 
应 的 代理 软件 ,这 样 新 的 应 用 就 无 法 使 用 已 有 的 代理 软件 。 使 用 时 工作 量 大 ,维护 比较 困 
难 , 效 率 明显 不 如 网 络 层 防火 墙 。 在 复杂 的 、 内 网 用 户 太 多 的 网 络 环境 中 ,应 用 层 网 关 显 
得 不 太 实 用 ,并 且 可 能 超 负 荷 运行 ,以 致 不 能 正常 工作 。 如 果 应 用 层 网 关 的 实现 依赖 于 操 
作 系统 的 Inetd 守护 进程 , 则 其 最 大 并 发 连接 数目 将 受到 严重 限制 ,甚至 能 造成 过 滤 速 度 
缓慢 或 死机 。 


13.2.4 代理 服务 器 


代理 服务 技术 的 原理 是 在 应 用 网 关上 运行 的 专门 的 应 用 代理 程序 ,一 方面 代替 服务 器 
与 客户 程序 建立 连接 , 另 一 方面 代 蔡 客 户 程序 与 服务 器 建立 连接 ,使 得 用 户 可 以 通过 应 用 网 
关 安 全 地 使 用 Internet 服务 .而 对 非法 用 户 的 请 求 将 不 子 理 上 坚 。 代 理 服 务 器 将 内 部 网 的 客 
户 和 Internet 隔离 ,从 Internet 中 只 能 看 到 该 代理 服务 器 ,而 无 法 获得 任何 内 部 客户 的 信息 。 
NAI 公司 的 Gauntlet、Axent 公司 的 Raptor 都 是 基于 代理 的 防火 墙 。TIS 的 
Firewall Toolkit(FWTK) 是 一 个 比较 流行 的 应 用 层 防 火 墙 , 它 包 括 了 能 满足 常用 网 络 服 
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务 协议 的 代理 服务 器 ,如 Telnet 网 关 、FTP 网 关 、rlogin 网 关 和 SSL 网 关 等 。 

代理 服务 技术 的 优点 是 : 缓解 公有 IP 地 址 空间 短缺 问题 ;隐蔽 内 部 网 络 拓扑 信息 ; 
网 关 理 解 应 用 协议 ,可 以 实施 更 细 粒 度 的 访问 控制 ; 较 强 的 数据 流 监控 .记录 和 报告 功能 
应 用 层 网 关 和 代理 服务 器 能 实现 用 户 级 (应 用 层 ) 认 证 ,而 网 络 层 防火 墙 只 能 实现 主机 级 
(网 络 层 ) 认 证 。 

代理 服务 技术 的 缺点 是 对 每 一 类 应 用 都 需要 一 个 专门 的 代理 ,灵活 性 不 够 ;每 一 种 网 
络 应 用 服务 的 安全 问题 各 不 相同 ,分析 困难 ,因此 实现 困难 而 且 速 度 慢 。 而 且 还 可 能 有 存 
在 单 点 失效 的 风险 。 

各 种 类 型 的 防火 墙 各 有 其 优 缺 点 。 当 前 的 防火 墙 产品 已 不 是 单一 的 包 过 滤 型 或 代理 
服务 器 型 防火 墙 ,而 是 将 各 种 防火 墙 安全 技术 结合 起 来 ,形成 一 个 混合 的 多 级 防火 墙 ,以 
提高 防火 墙 的 灵活 性 和 安全 性 。 一 些 对 于 实时 性 要 求 高 .使 用 不 频繁 的 协议 (如 Telnet、 
SMTP) 最 好 采用 包 过 滤 机 制 , 而 另 一 些 使 用 较为 频繁 、 信 息 共享 性 高 的 协议 (如 FTP、 
Gopher`\WWW) 可 以 采用 应 用 层 代理 。 


13.3 防火墙 的 体系 结构 


在 各 种 防火 墙 的 体系 结构 中 都 会 涉及 到 一 种 主机 一 一 煲 垒 主机 。 保 又 主机 (bastion 
host) 的 硬件 是 一 台 普 通 的 主机 (其 操作 系统 要 求 可 靠 性 好 、 可 配置 性 好 ), 它 使 用 软件 配 
置 应 用 网 关 和 服务 代理 程序 ,从 而 具有 强大 而 完备 的 功能 。 它 是 内 部 网 络 和 Internet 之 
间 的 通信 桥梁 , 它 中 继 ( 关 闭 “IP 转发 "功能 ,不 允许 转发 ) 所 有 的 网 络 通信 服务 ,并 具有 认 
证 ,访问 控制 .日 志 记 录 、 审 计 监 控 等 功能 。 

堡垒 主机 位 于 内 部 网 络 的 最 外 层 ,是 网 络 上 最 容易 遭受 非法 入 侵 的 设备 。 它 作为 内 
部 网 络 上 外 界 唯一 可 以 访问 的 点 ,在 整个 防火 墙 系统 中 起 着 重要 的 作用 ,是 整个 系统 安全 
的 关键 点 。 


13.3.1 双 宿 /多 宿主 机 模式 


双 宿 主机 模式 是 最 简单 的 一 种 防火 墙 体系 结构 ,该 模式 是 围绕 着 至 少 具有 两 个 网 络 
接口 的 堡垒 主机 构成 的 。 双 宿主 机 内 外 的 网 络 均 可 与 双 宿 主机 实施 通信 ,但 内 外 网 络 之 
间 不 可 直接 通信 (不 能 直接 路 由 转发 )。 两 个 网 络 之 间 的 通信 是 通过 双 宿 主机 提供 的 应 用 
层 代理 服务 的 方法 实现 的 。 双 宿主 机 可 以 通过 代理 或 让 用 户 直接 到 其 上 注册 来 提供 很 高 
程度 的 网 络 控制 。 双 宿主 机 模式 防火 墙 如 图 13. 2 所 示 。 

由 于 双 宿 主机 直接 暴露 在 外 部 网 络 中 ,如 果 入 侵 者 得 到 了 双 宿 主机 的 访问 权 , 使 其 成 
为 一 个 路 由 器 ,内 部 网 络 就 会 被 人 侵 。 所 以 为 了 保证 内 部 网 的 安全 , 双 宿 主机 首先 要 禁止 
网 络 层 的 路 由 转发 功能 ,还 应 具有 强大 的 身份 认证 系统 ,尽量 少 安装 应 用 程序 和 服务 , 尽 
量 减少 防火 墙 上 用 户 的 账户 数 , 这 样 才能 减少 外 部 非法 登录 的 可 能 性 。 

在 UNIX 环境 中 运行 的 网 络 对 双 宿 主机 的 安全 性 非常 敏感 。 在 一 些 UNIX 操作 系 
统 (如 著名 的 Berkeley UNIX) 中 ,默认 路 由 能 力 是 有 效 的 。 因 此 ,在 UNIX 网 络 中 建立 防 
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() 一 广内 事 网 络 ) 


Lassbes 


图 13.2 双 宿 主机 模式 防火 墙 


火 墙 时 ,必须 验证 防火 墙 所 使 用 的 操作 系统 的 路 由 功能 是 被 禁止 的 ,否则 必须 重建 双 宿 主 
机 核心 以 重新 配置 双 宿 主机 。 


13.3.2 屏蔽 主机 模式 


屏蔽 主机 模式 中 的 过 滤 路 由 器 为 保护 堡垒 主机 的 安全 建立 了 一 道 屏 障 。 它 将 所 有 进 
和 人 的 信息 先 送 往 堡垒 主机 ,并 且 只 接受 来 自 堡垒 主机 的 数据 作为 发 出 的 数据 。 屏 项 主机 
防火 墙 强迫 所 有 外 部 网 络 到 内 部 网 络 的 连接 通过 此 过 滤 路 由 器 和 堡垒 主机 ,而 不 会 直接 
连接 到 内 部 网 络 ,反之 亦 然 。 堡 又 主机 是 Internet 上 的 主机 能 连接 到 的 唯一 的 内 部 网 络 
上 的 系统 。 屏 项 主机 模式 防火 墙 图 13. 3 所 示 。 


Internet 


到 过 滤 路 由 器 | 
0 和 于 一 一 下“ 内 部 网 络 ) 
| i114 | | 
DJ 
1 。 保全 主机 


13.3 屏蔽 主机 模式 防火 墙 
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这 种 结构 的 安全 性 依赖 于 过 滤 路 由 器 和 堡垒 主机 ,只 要 有 一 个 失败 ,整个 网 络 的 安全 
将 受到 威胁 。 过 滤 路 由 器 是 否 正确 配置 是 这 种 防火 墙 安全 与 否 的 关键 ,过 滤 路 由 器 的 路 
由 表 应 当 受 到 严格 的 保护 ,否则 数据 包 就 不 会 被 转发 到 堡垒 主机 上 (而 直接 进入 内 部 网 ) 。 
该 防火 墙 系统 提供 的 安全 等 级 比 双 宿 /多 宿主 机 模式 的 防火 墙 要 高 ,这 样 也 就 具有 更 好 的 
可 用 性 。 


13.3.3 屏蔽 子 网 模式 


屏蔽 子 网 模式 增加 了 一 个 把 内 部 网 络 与 Internet 隔离 的 周边 网 络 (也 称 为 非 军事 区 
DMZ) ,从 而 进一步 实现 堡垒 主机 的 安全 性 ,通过 使 用 DMZ 隔离 堡垒 主机 能 够 削弱 外 部 
网 络 对 堡垒 主机 的 攻击 。 在 DMZ 中 堡垒 主机 作为 唯一 可 访问 点 ,支持 与 终端 的 交互 或 
作为 应 用 网 关 代理 。 对 于 选 定 的 可 以 向 Internet 开放 的 各 种 网 络 应 用 ,也 可 以 将 该 应 用 
服务 器 (如 Web、SMTP、FTP、 外 部 DNS 服务 ) 放 在 DMZ 上 。 屏 项 子 网 模式 防火 墙 如 
图 13. 4 所 示 。 


Internet 


保 
外 部 路 由 器 BR 四 
机 


13.4 屏蔽 子 网 模式 防火 墙 


屏蔽 子 网 模式 防火 墙 中 有 两 个 过 滤 路 由 器 ,分 别 位 于 DMZ 与 内 部 网 之 间 、DMZ 与 
外 部 网 之 间 。 内 外 两 个 过 滤 路 由 器 实现 两 层 包 过 滤 的 功能 (只 将 数据 包 路 由 到 堡 公主 机 
和 只 接受 从 堡垒 主机 发 送 来 的 数据 包 ) 。 外 部 路 由 器 用 来 保护 堡垒 主机 免 受 侵害 ,而 内 部 
路 由 器 用 来 防备 因 堡垒 主机 被 攻破 而 对 内 部 网 络 造成 危害 。 

攻击 者 要 攻 入 这 种 结构 的 内 部 网 络 ,必须 通过 两 个 路 由 器 ,因而 不 存在 危害 内 部 网 的 
单一 入 口 点 。 即 使 非法 攻击 者 侵入 堡垒 主机 , 它 仍 将 必须 通过 内 部 路 由 器 。 由 于 DMZ 
的 存在 , 它 仍 可 消除 对 内 部 网 络 的 威胁 。 这 种 结构 安全 性 好 ,只 有 当 3 个 安全 单元 都 被 破 
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坏 , 内 部 网 络 才 会 暴露 。 
选择 /配置 内 外 过 滤 路 由 器 的 原则 : 
(1) 最 好 用 不 同 厂 商 的 路 由 器 。 
(2) 如 果 不 行 ,最 好 用 同一 厂商 不 同型 号 路 由 器 。 
(3) 即使 使 用 同一 型 号 的 产品 ,也 设置 不 同 过 滤 规 则 。 
防火 墙 除了 有 上 述 3 种 主要 的 体系 结构 外 ,还 有 如 下 一 些 体系 结构 : 
。 使 用 多 堡垒 主机 ,合并 内 部 /外 部 路 由 器 。 
。 合并 堡垒 主机 与 外 部 路 由 器 (内 部 路 由 器 ) 。 
。 使 用 多 台 内 部 路 由 器 ,使 用 多 台 外 部 路 由 器 。 
。 使 用 多 个 周边 网 络 ,使 用 双 宿 主机 与 屏蔽 子 网 。 


13.4 防火 墙 技术 的 几 个 新 方向 
13.4.1 透明 接 入 技术 


一 般 来 说 ,不 透明 的 堡垒 主机 的 接 和 人 需要 修改 网 络 拓扑 结构 ,内 部 子 网 用 户 要 更 改 网 
关 , 路 由 器 要 更 改 路 由 配置 等 。 而 且 路 由 器 和 子 网 用 户 都 需要 知道 堡垒 主机 的 IP 地 址 ， 
一 旦 整个 子 网 的 IP 地址 改动 ,针对 堡垒 主机 的 改动 则 非常 麻烦 。 

而 透明 接 和 人 技术 的 实现 完全 克服 了 以 上 缺陷 ,具有 透明 代理 功能 的 堡垒 主机 对 路 由 
器 和 子 网 用 户 而 言 是 完全 透明 的 ,也 就 是 说 ,他 们 根本 感觉 不 到 防火 墙 的 存在 ,犹如 网 桥 
一 样 。 一 种 典型 的 透明 接 入 技术 包括 ARP 代理 和 路 由 转发 。 


13.4.2 分 布 式 防火 墙 技术 


1. 边界 防火 墙 的 缺陷 


(1) 结构 性 限制 : 随 着 企业 业务 规模 的 扩大 ,数据 信息 的 增长 ,使 得 企业 网 的 边界 已 
成 为 一 个 多 辑 边 界 的 概念 ,物理 的 边界 日 趋 模糊 ,因此 边界 防火 墙 的 应 用 受到 越 来 越 多 的 
结构 性 限制 。 

(2) 内 部 威胁 : 当 攻击 来 自信 任 的 地 带 时 ,边界 防火 墙 自然 无 法 抵御 ,被 攻击 在 所 
难免 。 

(3) 效率 和 故障 :边界 防火 墙 把 检查 机 制 集中 在 网 络 边界 处 的 单 点 上 ,一 旦 被 攻克 ， 
整个 内 部 网 络 将 完全 暴露 在 外 部 攻击 者 面前 。 

2. 分 布 式 防火 墙 的 产生 及 其 优势 


分 布 式 防火 墙 是 3 部 分 组 成 的 立体 防护 系统 : 
(1) 网 络 防火 墙 (network firewall) : 它 承 担 着 传统 边界 防火 墙 看 守 大 门 的 职责 。 
(2) 主机 防火 墙 Chost firewall) : 它 解 决 了 边界 防火 墙 不 能 很 好 解决 的 问题 (如 来 自 
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内 部 的 攻击 和 结构 限制 等 ) 。 

(3) 集中 管理 (central management) : 它 解决 了 由 分 布 技术 而 带 来 的 管理 问题 。 

分 布 式 防火 墙 的 优势 主要 有 : 

(1) 保证 系统 的 安全 性 。 分 布 式 防火 墙 技 术 增 加 了 针对 主机 的 和 人 侵 检测 和 防护 功 
能 ,加 强 了 对 来 自 内 部 攻击 的 防范 ,对 用 户 网 络 环境 可 以 实施 全 方位 的 安全 策略 ,并 提供 
了 多 层次 立体 的 防范 体系 。 

(2) 保证 系统 性 能 稳定 高 效 。 消 除了 结构 性 瓶颈 问题 ,提高 了 系统 整体 安全 性 能 。 

(3) 保证 系统 的 扩展 性 。 伴 随 网 络 系统 扩充 ,分 布 式 防 火 墙 技术 可 为 安全 防护 提供 
强大 的 扩充 能 力 。 


13.4.3 以 防火 墙 为 核心 的 网 络 安全 体系 


如 果 防 火 墙 能 和 入 侵 检测 系统 .病毒 检测 等 相关 安全 系统 联合 起 来 ,充分 发 挥 各 自 的 
长 处 ,协同 配合 ,就 能 共同 建立 一 个 有 效 的 安全 防范 体系 。 具 体 的 解决 办 法 是 : 

(1) 把 入 侵 检测 系统 病毒 监 测 部 分 “做 ?到 防火 墙 中 ,使 防火 墙 具 有 简单 的 入 侵 检测 
和 病毒 检测 的 功能 。 

(2) 各 个 产品 分 离 ,但 是 通过 某 种 通信 方式 形成 一 个 整体 , 即 专业 检测 系统 专职 于 某 
一 类 安全 事件 的 检测 ,一 旦 发 现 安全 事件 , 则 立即 通知 防火 墙 ,由 防火 墙 完成 过 滤 和 报告 。 


13.4.4 防火 墙 的 发 展 趋势 


(1) 未 来 的 防火 墙 要 求 是 高 安全 性 和 高 效率 ,所 以 使 用 专门 的 芯片 负责 访问 控制 功 
能 、 设 计 新 的 防火 墙 的 技术 架构 是 未 来 防火 墙 的 方向 。 

(2) 防火 墙 与 带 有 数据 加 密 功能 的 虚拟 专用 网 技术 结合 使 用 ,使 合法 的 访问 更 安全 。 
未 来 的 防火 墙 甚至 可 以 结合 入侵 检 测 系统 的 功能 ,防火 墙 在 安全 系统 中 扮演 的 角色 将 越 
来 越 多 ,地 位 会 更 加 重要 。 

(3) 混合 使 用 包 过 滤 技 术 、 代 理 服 务 技术 和 其 他 一 些 新 技术 。 

(4) 目前 人 们 正在 设计 IPv6,IP 协议 的 变化 将 对 防火 墙 的 建立 与 运行 产生 深刻 的 
影响 。 

(5) 对 数据 包 同 时 进行 全 方位 的 检查 ,不 仅 包括 数据 包头 的 信息 ,而 且 包 括 数据 包 的 
内 容 信 息 , 查 出 恶意 行为 ,阻止 其 通过 。 

Trust 信息 系统 公司 的 Gauntlet 3.0 产品 从 外 部 向 内 看 像 是 代理 服务 (任何 外 部 服 
务 请 求 都 来 自 于 同一 主机 ) ,而 由 内 部 向 外 看 像 一 个 包 过 滤 系 统 ( 内 部 用 户 认为 他 们 直接 
与 外 部 网 交互 ) 。Karl Bridge/ Karl Brouter 产品 拓展 了 包 过 滤 的 范围 , 它 对 应 用 层 上 的 
包 过 滤 和 授权 进行 了 扩展 ,这 比 传统 的 包 过 滤 要 精细 得 多 。 

近年 来 ,在 商业 应 用 防火 墙 中 出 现 了 一 种 革命 性 的 技术 一 一 自 适应 代理 技术 
(adaptive proxy) , 它 可 以 结合 代理 防火 墙 的 安全 性 和 包 过 滤 防 火 墙 的 高 速度 的 优点 ,在 
不 影响 安全 性 的 基础 上 将 代理 防火 墙 的 性 能 提高 10 倍 以 上 。 
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习题 


ee 上 om 


. 什么 是 防火 墙 ? 防火 墙 的 主要 功能 有 哪些 ? 

. 防火 墙 可 分 为 哪 几 种 类 型 ? 它们 分 别 是 如 何 工 作 的 ? 

. 防火墙 有 哪 几 种 常见 的 体系 结构 ? 分别 介 绍 它们 的 工作 原理 。 
. DMZ 区 域 在 防火 墙 中 的 作用 是 什么 ? 

. 什么 是 防火 墙 的 代理 技术 ? 

. 静态 包 过 滤 与 动态 包 过 滤 有 什么 不 同 ? 

. 简 述 应 用 层 网 关 防 火 墙 的 工作 原理 。 


防火 增 技 术 
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第 14 章 虚拟 专用 网 


14.1 VPN 概述 


虚拟 专用 网 (Virtual Private Network, VPN) 是 在 两 台 计 算 机 之 间 建 立 一 条 专用 连 
接 , 通 过 附加 的 隧道 技术 、 加 密 和 密 钥 管理 ,用 户 认证 和 访问 控制 等 技术 实现 与 专用 网 类 
似 的 安全 性 能 ,从 而 达到 在 公共 网 络 上 安全 传输 机 密 数 据 的 目的 。 整 个 VPN 网 络 任意 
两 个 节点 之 间 的 连接 并 没有 端 到 端的 物理 链 路 ,而 是 架构 在 公共 网 络 平台 (如 Internet 
等 ) 之 上 的 逻辑 网 络 。VPN 能 够 提供 Internet 上 端 到 端 数据 安全 传输 ,所 以 和 防火 墙 、 入 
侵 检测 系统 、 主 机 加 固 等 一 样 ,已 成 为 网 络 安全 防御 体系 中 的 重要 环节 。 

隧道 (封装 ) 技 术 是 构建 VPN 的 核心 技术 ,也 是 目前 区 分 不 同 VPN 业务 的 基本 方 
式 , 隧 道 以 释 加 在 IP 主干 网 上 的 方式 运行 。 数 据 包 不 是 直接 在 公共 网 络 平台 上 传输 ,而 
是 首先 进行 加 密 和 鉴别 以 确保 安全 ,然后 由 VPN 封装 成 卫 包 的 形式 ,通过 隧道 在 公共 
网 络 平台 上 安全 传输 ,离开 隧道 后 ,要 进行 解 封装 ,之 后 数据 便 不 再 被 保护 。 

从 发 展 角 度 来 看 ,VPN 实际 上 是 一 个 范畴 很 广 的 概念 : 只 要 有 数据 网 络 , 就 有 了 最 
简单 .最 原始 意义 上 的 VPN。 首 先 出 现 的 VPN 是 通过 拨号 和 专用 的 租赁 线路 互 连 用 户 
网 络 设备 而 构成 ,几乎 没有 其 他 功能 ,成 本 高 昂 , 开 通 速度 缓慢 。 其 次 出 现 的 VPN 是 基 
于 第 二 层 数据 链 路 的 ,20 世纪 70 年 代 晚 期 出 现 了 通过 X. 25 的 虚 电 路 (VC ) 进 行 广域网 
包 交 换 构成 的 VPN。20 世纪 90 年 代 帧 中 继 CFrame Relay,FR) 和 ATM 交换 的 出 现形 
成 了 FR/ATM VPN, 这 些 VPN 提供 永久 虚 电路 (PVC) 来 连接 需要 通信 的 站 点 ,它们 更 
简单 , 且 费 用 低 。 但 是 也 存在 一 些 缺 点 : 服务 提供 商 掌握 所 有 权限 :开通 速度 比较 缓慢 ， 
终端 设备 价格 昂贵 ,增加 了 管理 设备 的 专业 人 员 成 本 ;不 能 与 只 使 用 Internet 的 单位 连 
接 ,所 以 一 直 没 有 得 到 广泛 应 用 。 

随 着 Internet 可 靠 性 和 可 用 性 的 增强 , 它 可 以 提供 最 廉价 和 普遍 的 广域网 通信 。 然 
而 与 上 述 专 用 网 相 比 ,Internet 不 能 提供 相同 的 安全 性 、 带 宽 及 服务 质量 (QoS) 保 证 ,于 
是 ,一 种 具有 两 者 优点 , 且 运 行 在 Internet 之 上 的 新 的 VPN 技术 一 一 IP VPN 成 为 近年 
来 兴起 的 VPN 技术 。 相 比较 而 言 , 四 类 用 户 适 合 采用 IP VPN: 位 置 众多 ,特别 是 单个 用 
户 和 远程 办 公 室 站 点 多 ;用 户 / 站 点 分 布 范围 广 ,特别 是 遍布 全 球 各 地 ;带宽 和 时 延 要 求 相 
对 适中 ;对 线路 机 密 性 和 可 用 性 有 一 定 要 求 的 用 户 。 


14.2 VPN 的 分 类 


不 同 的 VPN 技术 可 在 OSI 协议 栈 的 不 同 层次 实现 ,到 目前 为 止 , 国 际 标准 化 组 织 、 相 关 
厂商 和 研究 人 员 已 提出 了 多 种 了 VPN 的 概念 和 技术 。 通 过 综合 分 析 以 前 的 VPN 分 类 标 
准 , 结 合 各 个 VPN 技术 的 当前 发 展 情况 ,得 到 的 VPN 系统 分 类 图 如 图 14. 1 所 示 。 
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VPN 
Non-IP VPN IP VPN 
基于 拨号 。 基于 X.25/ site-to-site VPN user-to-site VPN 
或 专线 FR/IATM 

PE-based CE-based Dial Broadband 
L3 VPN L2 VPN LI VPN IPSec GRE SOCKS SSL SSH L2F Cable/DSL 

(OVPN) (L3) (L3) (L5) (L5) (L7) PPTP 802.11 

L2TP 


MPLS VR VPWS VPLS 
图 14.1 VPN 系统 分 类 图 


14.3 各 种 VPN 技术 分 析 
14.3.1 MPLS 技术 


多 协议 标签 交换 (MPLS) 技 术 是 为 了 综合 利用 网 络 核心 的 交换 技术 和 网 络 边缘 的 IP 
路 由 技术 的 各 自 优 点 而 产生 的 。MPLS 将 第 三 层 IP 路 由 技术 的 智能 .灵活 和 可 扩展 性 与 
第 二 层 交 换 技 术 的 高 速 和 流量 管理 完美 地 结合 起 来 ,从 而 弥补 了 传统 IP 网 络 的 许多 缺 
陷 。MPLS 是 一 种 可 在 多 种 第 二 层 协议 (主要 是 ATM ) 上 进行 标签 交换 而 不 用 改变 现 有 路 
由 协议 的 网 络 技术 ,这 种 标签 交换 是 第 三 层 的 交换 , 却 具备 第 二 层 的 速度 。 它 引入 了 新 的 标 
签 结构 ,对 全 网 络 的 改变 较 大 ,引入 了 “ 显 式 路 由 ”机 制 , 为 QoS 提供 了 更 可 靠 的 保证 。 图 
14.2 给 出 了 使 用 MPLS 和 边界 网 关 协 议 (BGP) 来 提供 IP VPN 业务 的 一 种 网 络 结构 。 


VPN 
用 户 站 点 


(MPLS 网 络 ) 


LER( 标 签 边缘 路 由 器 ) 一 一 好 PE( 提 供 者 边缘 路 由 器 ) 
LSR( 标 签 交 换 路 由 器 ) 一 一 即 P( 提 供 者 路 由 器 ) 

CE( 用 户 边缘 路 由 器 ) 

LSP( 标 签 交 换 路 径 ) 


图 14.2 MPLS VPN 网 络 结构 


MPLS 实际 上 就 是 一 种 隧道 技术 ,所 以 用 它 来 建立 VPN 隧道 十 分 容易 。MPLS VPN 
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《网 络 安全 原理 与 实践 》 


适用 于 实现 对 服务 质量 .服务 等 级 的 划分 及 网 络 资源 的 利用 率 、 网 络 的 可 靠 性 有 较 高 要 求 的 
VPN 业务 。 从 MPLS VPN 网 络 结构 图 可 以 看 出 ,虽然 MPLS VPN 中 的 主角 是 边缘 路 由 器 
LER, 但 是 它 需 要 公共 人 P 网 络 内 部 的 所 有 相关 路 由 器 ( 即 交换 路 由 器 LSR) 都 能 够 支持 
MPLS, 所 以 这 种 技术 对 网 络 有 特殊 的 要 求 。 

MPLS 能 够 跨越 多 种 链 路 层 技术 ,为 无 连接 的 网 络 层 提供 面向 连接 的 服务 。MPLS 
VPN 通过 把 现 有 的 IP 网 络 分 解 成 逻辑 上 隔离 的 网 络 来 实现 企业 /政府 部 门 互 连 。 与 IPSec 
不 同 ,MPLS VPN 的 安全 性 不 通过 加 密实 现 , 而 是 通过 对 不 同 用 户 间 、 用 户 与 公 网 间 的 路 由 
信息 隔离 来 实现 ,成 本 较 低 ,其 安全 性 完全 可 以 达到 专用 网 的 水 平 。 


14.3.2 IPSec 技术 


IPSec(JIP Security) 是 一 个 由 IETF IPSec 工作 组 设计 的 端 到 端的 确保 人 层 通信 安全 的 
协议 集 , 它 是 IPv6 的 安全 标准 ,也 可 应 用 于 目前 的 IPv4, 包 括 安全 协议 部 分 和 密 钥 协 商 部 
分 。 安 全 协议 部 分 有 封装 安全 载荷 (Encapsulation Security Payload, ESP) 和 鉴别 头 
(Authentication Header,AH) 两 种 协议 。 其 中 AH 提供 了 数据 源 身 份 认 证 数据 完整 性 和 抗 
重 放 机 制 ,ESP 实现 了 AH 的 所 有 功能 ,同时 还 为 通信 提供 机 密 性 。 密 钥 协 商 部 分 使 用 IKE 
(Internet Key Exchange) 协 议 实现 安全 协议 的 自动 安全 参数 (加 密 及 鉴别 算法 、 加 密 及 鉴别 
密 钥 、 通 信 的 保护 模式 、 密 钥 的 生存 期 等 ) 的 协商 。 

IPSec 可 保障 主机 之 间 、 安 全 网 关 之 间 (如 路 由 器 或 防火 墙 ) 或 主机 与 安全 网 关 之 间 的 数 
据 包 的 安全 。IPSec 通过 在 卫 层 提供 安全 保护 ,对 应 用 层 透明 ,任何 应 用 程序 无 须 修 改 就 可 
以 充分 利用 其 安全 特性 。IPSec 比 高 层 安全 协议 (如 SOCKS v5) 的 性 能 好 , 比 底层 安全 协议 
更 能 适应 通信 介质 的 多 样 性 。IPSec 是 最 安全 的 全 协议 ,已 经 成 为 新 一 代 的 Internet 安全 
标准 。 但 是 IPSec 不 支持 TCP/IP 以 外 的 其 他 网 络 协议 ,而 且 提供 的 访问 控制 方法 也 仅 限 于 
包 过 滤 技 术 , 并 且 它 使 用 他 地 址 作为 其 认证 算法 的 一 部 分 ,这 上 比 高 层 VPN 中 实现 的 针对 单 
个 用 户 的 认证 方式 的 安全 性 差 一 些 。 


14.3.3 ”GRE 技术 


GRE 是 通用 路 由 封装 协议 ,支持 全 部 路 由 协议 ,用 于 在 全 包 中 封装 任何 协议 的 数据 包 
(IP/IPX/NetBEUI 等 )。 在 GRE 中 ,乘客 协议 就 是 上 面 这 些 被 封装 的 协议 ,封装 协议 就 是 
GRE, 传 输 协议 就 是 全。 在 GRE 的 处 理 中 ,很 多 协议 的 细微 差别 都 被 忽略 ,是 一 种 通用 的 封 
装 形式 (使 得 非 卫 数据 包 能 在 全 互联 网 上 传送 )。GRE 还 可 以 将 使 用 私有 地 址 的 网 络 互 
联 ,或 者 对 公共 网 络 隐藏 企业 网 的 全 地址。 

虽然 GRE 隧道 技术 有 很 多 优点 ,由 于 它 提出 较 早 ,也 存在 着 一 些 缺 点 : GRE 只 提供 了 
数据 包 的 封装 ,而 没有 加 密 功 能 ,所 以 经 常 与 IPSec 一 起 使 用 ;由 于 GRE 与 IPSec 采用 的 是 
同样 的 基于 隧道 的 实现 方式 ,所 以 IPSec VPN 在 管理 ,组 网 上 的 缺陷 ,GRE VPN 也 同样 具 
有 ;因为 GRE 是 手工 配置 的 ,所 以 配置 和 维护 费用 与 隧道 数量 直接 相关 ,费用 较 高 。 若 自动 
配置 隧道 , 则 容易 形成 回路 问题 。GRE VPN 适用 于 一 些小 型 点 对 点 的 网 络 互联 .实时 性 要 
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求 不 高 ,要求 提 供 地 址 空间 重要 的 网 络 。 
14.3.4 SSL 技术 


随 着 Web 的 出 现 和 具有 安全 套 接 层 (SSL) 加 密 功 能 的 浏览 器 盛行 ,用 户 不 再 需 
要 利用 复杂 的 客户 端 建立 跨越 Internet 的 安全 通道 (如 IPSec VPN)。 只 要 使 用 支持 
HTTPS( 基 于 SSL 的 HTTP) 的 Web 浏览 器 ,就 可 以 方便 地 建立 安全 通道 访问 远程 
应 用 ,这 种 基于 SSL 协议 、 可 通过 浏览 器 访问 的 VPN 就 是 SSL VPN。SSL VPN 与 
IPSec VPN 的 最 大 不 同 是 无 客户 端 。SSL VPN 利用 Web 浏览 器 ,将 VPN 从 客户 端 / 
服务 器 模式 转换 为 浏览 器 /服务 器 模式 ,成 本 比 IPSec VPN 低 很 多 。 然 而 无 客户 端 这 
一 特性 也 使 SSL VPN 易于 受到 键盘 记录 软件 和 特洛伊 木马 的 攻击 。SSL VPN 与 
IPSec VPN 的 比较 如 表 14. 1 所 示 。 


表 14.1 SSL VPN 与 IPSec VPN 的 比较 


SSL VPN IPSec VPN 
身份 验证 saa ala 双向 身份 验证 ,数字 证 书 
加 密 强加 密 . 基 于 Wob 浏览 器 强加 密 \ 依 靠 执行 
网 络 边 缘 到 客户 端 \ 仅 对 从 客户 到 VPN 
全 程 安全 性 。 | 端 到 员 安 全 ,从 客户 到 服务 器 全 程 安全 | 国货 边 二 到 客 广 增 
可 访问 性 | 适用 于 任何 时 间 、 任 何 地 点 访问 适用 于 受 控 用 户 的 访问 
费用 低 (无 须 附加 任何 客户 端 软件 ) 高 (需要 管理 客户 端 软件 ) 
安装 硬 扣 四 用 安装 ,无 须 安 装 任何 附加 团 配置 时 间 长 ,需要 专门 的 客户 端 软 醒 人 
使 用 熟悉 的 Web 界面 ,无 须 培训 终端 | 对 没有 相应 技术 的 用 户 比较 困难 ,需要 
易 用 性 
用 户 培训 
支持 的 应 用 “| 基于 Web 的 应 用 .文件 共享 .E-mail 。 | 所 有 基于 站 协议 的 服务 
雪 记 .合作 全 们 用 户 .过 和 用 户 ,供应 | 到 人 企业 内 部 人 用 
在 服务 器 端 容 易 实现 自由 休 缩 ,在 客户 
可 伸缩 性 “| 容易 配置 和 扩展 en 


SSL VPN 最 适合 下 述 情况 : 企业 需要 通过 Web 远程 接 入 互联 网 ;客户 端 与 目标 


服务 器 之 间 有 防火 墙 或 需要 进行 网 络 地 址 转换 ,允许 HTTPS 数据 包 通 过 ,但 不 允许 
IKE 或 IPSec 包 通 过 ;企业 无 法 在 远程 计算 机 上 安装 软件 以 提供 远程 访问 ;需要 细 粒 
度 访问 控制 能 力 的 场合 。 我 们 建议 的 方案 是 : 以 IPSec VPN 作为 一 般 远 程 接 入 方案 
和 点 对 点 连接 方案 , 辅 以 SSL VPN 作为 访问 Web 服务 的 远程 接 入 方案 ,这 样 既 比 较 
安全 又 节省 成 本 。 当 前 的 一 个 研究 方向 是 如 何 让 IPSec VPN 兼容 SSL VPN ,增强 易 
用 性 和 扩展 性 。 
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14.3.5 SOCKS 技术 


虽然 SOCKS 在 PPTP 和 IPSec 以 前 出 现 , 但 早先 SOCKS 版 本 存在 使 用 复杂 、 不 安 
全 等 缺点 ,所 以 未 受 特别 重视 。SOCKS v5 纠正 了 以 前 版 本 的 错误 ,不 仅 提供 认证 和 数据 
完整 性 ,还 提供 加 密 。 其 单 向 的 安全 结构 可 在 与 其 他 网 络 建立 隧道 时 ,减少 来 自 其 他 网 络 
的 攻击 。 它 对 许多 认证 加密 、 密 钥 管理 技术 提供 插件 式 支持 (如 通用 安全 服务 API 
(GSS-APD 是 认证 和 加 密 SOCKS 数据 包 的 默认 机 制 ), 使 得 SOCKS 数据 包 能 够 安全 透 
明 地 通过 防火 墙 的 防御 。 即 插 即 用 的 特性 包括 访问 控制 工具 ,协议 过 滤 、 内 容 过 滤 ` 流 量 
监测 ,报告 生成 和 管理 应 用 。 

SOCKS v5 支持 低层 的 IPSec/PPTP/L2TP/PPP, 由 它们 提供 隧道 封装 功能 。 由 于 
组 成 Extranet 的 各 子 网 之 间 通 常 存在 很 大 差异 ,因此 Extranet VPN 需要 工作 在 足够 高 
的 层次 以 便 充 分 屏蔽 底层 技术 差别 并 实现 互 操作 ,而 且 VPN 技术 需要 实现 对 应 用 层 防 
火 墙 技术 的 兼容 性 ,所 以 Extranet VPN 最 适合 利用 会 话 层 以 上 技术 实现 ,典型 的 就 是 
SOCKS v5( 同 SSL 协议 配合 使 用 )。 虽 然 SOCKS v5 提供 强 认 证 和 访问 控制 方法 ,但 整 
体 性 能 较 差 , 管 理 复杂 , 且 推 广 使 用 较 晚 。 


14.3.6 SSH 技术 


SSH(Secure Shell) 是 一 种 介 于 传输 层 和 应 用 层 之 间 的 加 密 隧 道 协议 ,具有 客户 端 / 
服务 器 的 体系 结构 。SSH 可 以 在 本 地 主机 和 远程 服务 器 之 间 设 置 “加 密 隧 道 *, 此 “加 密 
隧道 ”可 以 跟 常见 的 Telnet、rlogin、FTP、POP3、X11 应 用 程序 相 结合 ,目的 是 要 在 非 安全 
的 网 络 上 提供 安全 的 远程 登录 和 相应 的 网 络 安 全 服务 ,这 就 形成 了 一 种 应 用 层 的 特定 的 
VPN——SSH VPN。 

SSH 协议 既 可 以 提供 主机 认证 ,又 可 以 提供 用 户 认证 ,同时 还 提供 数据 压缩 、 数 据 机 
密 性 和 完整 性 保护 。 通 过 使 用 SSH. 能 够 防止 中 间 人 攻击 ,以 及 IP 欺骗 和 DNS 欺骗 。 
SSH 的 不 足 之 处 在 于 它 使 用 的 是 手工 分 发 并 预 配置 的 公 钥 而 非 基 于 证 书 的 密 钥 管理 。 
与 SSL 和 TLS 相 比 ,这 是 SSH 的 主要 缺陷 。 但 从 SSH 2. 0 协议 开始 允许 同时 使 用 PKI 
证 书 和 密 钥 ,这 样 可 以 降低 密 钥 管 理 的 负担 并 提供 更 强大 的 安全 保障 。 虽 然 SSH 还 有 不 
足 之 处 ,但 相对 于 其 他 VPN 和 专业 防火 墙 的 复杂 性 和 费用 来 说 ,也 不 失 为 一 种 可 行 的 网 
络 安全 解决 方案 ,尤其 适合 中 小 企业 部 署 VPN 应 用 。 


14.3.7 PPTP 和 L2TP 技术 


PPTP 和 L2TP 是 目前 主要 的 构建 远程 接 人 VPN 的 隧道 协议 ,它们 属于 第 二 层 隧道 
协议 。 根 据 隧道 的 端点 是 客户 端 计算 机 还 是 拨号 接 入 服务 器 ,隧道 可 以 分 为 两 种 : 

(1) 自愿 隧道 : 客户 端 计算 机 可 以 通过 发 送 VPN 请 求 来 配置 一 条 自愿 隧道 ,客户 端 
计算 机 作为 隧道 的 一 个 端点 , 它 必 须 安 装 隧道 客户 软件 ,并 创建 到 目标 隧道 服务 器 的 虚拟 
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连接 。 

(2) 强制 隧道 : 由 支持 VPN 的 拨号 接 入 服务 器 来 配置 和 创建 。 位 于 客户 端 计算 机 
和 隧道 服务 器 之 间 的 拨号 接 人 服务 器 作为 隧道 客户 端 , 成 为 隧道 一 个 端点 。 

自愿 隧道 技术 为 每 个 客户 创建 独立 的 隧道 ,而 强制 隧道 中 拨号 接 和 服务 器 和 隧道 服 
务 器 之 间 建 立 的 隧道 可 以 被 多 个 拨号 客户 共享 ,只 有 最 后 一 个 隧道 用 户 断 开 连 接 之 后 才 
能 终止 整个 隧道 。 第 二 层 隧道 协议 主要 有 如 下 三 种 : 


1. PPTP 协议 一 一 实现 自愿 隧道 


PPTP 是 PPP 协议 的 扩展 ,该 协议 将 PPP 数据 包 ( 用 GRE 的 修正 版 本 ) 封 装 在 IP 数 
据 包 内 通过 IP 网 络 进行 传送 。PPTP 是 微软 .Ascend、3COM 等 公司 支持 的 隧道 协议 , 它 
的 应 用 较为 简单 ,由 它 构建 的 VPN 与 路 由 环境 、 认 证 过 程 等 多 方面 完全 兼容 。 将 PPTP 
用 于 远程 访问 很 容易 ,用 来 在 基于 TCP/IP 的 网 络 上 发 送 多 协议 (IP/IPX/NetBEUT) 的 
数据 包 。 用 户 可 以 自行 建立 PPTP 隧道 ,但 需要 在 其 用 户 计算 机 上 配置 PPTP, 且 它 只 支 
持 IP 作为 传输 协议 。PPTP 是 一 个 为 中 小 企业 提供 的 VPN 解决 方案 ,但 它 在 实现 上 存 
在 重大 安全 隐患 (安全 性 依赖 于 PPP 协议 ) 。 


2. L2F 协议 一 一 实现 强制 隧道 


L2F 协议 是 由 Cisco、 北 方 电信 提出 的 隧道 技术 ,可 以 支持 多 种 传输 协议 ,如 IP/ 
ATM/ FR/X.25/UDP。 首 先 远 端 用 户 通过 任何 拨号 方式 接 入 公共 IP 网 络 ,建立 PPP 
连接 ,然后 NAS 根据 用 户 名 等 信息 ,连接 到 企业 的 L2F 网 关 服 务 器 , 它 把 数据 包 解 包 后 
发 送 到 内 部 网 。 隧 道 建立 对 用 户 完全 透明 ,没有 确定 客户 方 ,只 在 强制 隧道 中 有 效 ,没有 
为 被 封装 的 数据 报 文 定 义 加 密 方法 。 


3. L2TP 协议 一 一 实现 两 种 隧道 


L2TP 协议 是 由 IETF 起 草 , 微 软 、Cisco、3COM 等 公司 共同 制定 ,目前 它 是 IETF 的 
标准 ,结合 L2F 和 PPTP 优点 ,可 以 让 用 户 从 客户 端 或 访问 服务 器 发 起 VPN 连接 。 支 持 
IP/X. 25/FR/ATM 作为 传输 协议 ,但 目前 仅 定 义 基 于 IP 网 络 的 。L2TP 对 传输 中 的 数 
据 并 不 加 密 , 如 果 需 要 安全 的 VPN ,仍然 需要 结合 使 用 IPSec。L2TP 客户 端 /服务 器 是 
使 用 L2TP 隧道 协议 和 IPSec 安全 协议 的 VPN 客户 端 /服务 器 。 

第 三 层 隧 道 协 议和 第 二 层 隧道 协议 主要 有 如 下 两 点 不 同 : 

(1) 第 三 层 隧道 协议 用 包 作 为 数据 交换 单位 ,是 将 IP 包 封装 在 附加 的 IP 包头 中 通 
过 JP 网络 传送 。 第 三 层 隧 道 如 IPSec, 由 于 是 IP in IP, 其 可 靠 性 、 可 扩展 性 和 安全 性 等 
方面 均 优 于 第 二 层 隧 道 ,特别 适合 LAN to LAN 互联 。 

(2) 第 二 层 隧道 协议 用 数据 帧 作为 数据 交换 单位 ,是 将 多 种 网 络 数据 封装 在 PPP 数 
据 帧 中 通过 Internet 发 送 。 第 二 层 隧道 目前 主要 基于 虚拟 PPP 连接 ,如 PPTP/L2F/ 
L2TP 等 。 其 主要 优点 是 协议 简单 ,易于 加 密 , 特 别 适合 为 远程 用 户 拨号 接 人 IP VPN 提 
供 PPP 连接 。 但 用 户 网 关 或 RAS 服务 器 需要 维护 大 量 的 PPP 会 话 连接 状态 ,造成 PPP 
会 话 超时 等 问题 ,影响 传输 效率 和 系统 扩展 。PPTP、L2TP 与 IPSec 协议 的 比较 结果 如 
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表 14.2 所 示 。 
表 14.2 三 种 隧道 协议 的 比较 
PPTP L2TP IPSec 
工作 方式 客户 端 -服务 器 客户 端 -服务 器 主机 -主机 LAN-LAN 
用 途 远程 接 入 远程 接 入 Intranet\ Extranet 
OSI 层 次 第 二 层 第 二 层 第 三 层 
隧道 服务 单 点 隧道 单 点 隧道 多 点 隧道 
所 封装 协议 IP/IPX/NetBEUI IP/IPX/NetBEUI PP 
包 认 证 无 使 用 IPSec 使 用 AH 
包 加 密 厂商 指定 使 用 IPSec 使 用 ESP 
数据 压缩 基于 PPP 的 MPPC 正在 开发 正在 开发 
密 钥 管理 基于 PPP 的 MPPE 使 用 IPSec ISAKMP/OAKLEY 
具有 NAT 功能 | 支持 正在 开发 正在 开发 


14.4 PPTP 的 安全 问题 


隧道 技术 是 构建 VPN 的 核心 技术 ,尽管 VPN 能 够 对 数据 实现 加 密 和 鉴别 ,但 隧道 
协议 本 身 也 不 是 非常 安全 和 无 懈 可 击 的。 下 面 以 PPTP 协议 的 安全 性 为 例 来 讨论 。 

提 到 PPTP VPN ,不 可 避免 要 提 到 微软 公司 ,因为 Windows 中 的 远程 访问 服务 免费 
提供 PPTP, 并 且 是 PPTP 最 普遍 的 实现 ,但 是 PPTP 协议 的 实现 也 有 缺陷 。PPTP 根据 
用 户口 令 生成 加 密 密 钥 ,而 Windows 通过 存储 口令 的 NTLM 散 列 值 ( 比 LanManager 散 
列 值 要 安全 ) 来 保存 口令 。LanManager 散 列 值 的 产生 过 程 如 下 : 

(1) 用 户口 令 转 换 成 长 为 14 字 节 的 字符 串 ,超出 部 分 去 掉 , 不 足 的 补 空 值 。 

(2) 将 上 述 字符 串 都 转换 成 大 写字 母 , 非 字母 的 不 变 。 

(3) 将 上 述 字 符 串 分 为 长 为 7 字 节 的 两 部 分 。 

(4) 将 每 部 分 都 作为 DES 的 密 钥 ,加 密 一 个 固定 的 常数 ,得 到 两 个 8 字 节 长 的 密 文 。 

(5) 将 两 个 8 字 节 长 的 密 文 连接 成 16 字 节 的 串 , 即 为 LanManager 散 列 值 。 

LanManager 散 列 值 的 安全 性 很 低 ,而 改进 后 的 NTLM 机 制 考虑 了 大 小 写字 母 的 区 
别 , 并 且 是 作为 14 字 节 的 串 来 独立 运算 , 比 LanManager 散 列 更 安全 。 其 不 足 是 仍 没 有 
使 用 填充 数据 ( 即 “ 加 盐 ”) ,同样 的 口令 其 散 列 值 仍 然 相 同 。PPTP 协议 的 安全 问题 还 有 : 

(1) PPTP 使 用 的 安全 认证 协议 MS-CHAP 依赖 于 某 个 密码 函数 ,该 函数 已 经 被 证 
明 可 以 破解 (这 是 LanManager 散 列 函数 的 漏洞 )。 男 外 ,在 MS-CHAP 中 只 对 客户 进行 
了 认证 ,没有 对 服务 器 进行 认证 。 后 来 使 用 的 MS-CHAP v2 解决 了 上 面 的 安全 问题 。 

(2) 用 于 产生 会 话 密 钥 的 种 子 信息 是 根据 用 户 提 供 的 口令 生成 的 ,即使 用 户 选择 了 
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较为 安全 的 口令 ,如 果 使 用 的 是 NTLM 散 列 函数 ,口令 文件 仍然 易于 被 攻击 。 

(3) 由 于 通信 双方 重复 使 用 会 话 密 钥 ,因此 会 话 加 密 算 法 (RC4 算法 ) 的 安全 强度 大 
大 降低 。RC4 是 输出 反馈 模式 的 流 密码 ,在 不 同 的 会 话 中 使 用 相同 密 钥 是 不 安全 的 , 然 
而 用 户 每 次 初始 化 PPTP 时 都 会 产生 同样 的 40 位 RC4 密 钥 , 由 此 产生 的 密 钥 集 也 是 相 
同 的 。 一 旦 掌握 了 用 户 的 口令 和 前 一 个 会 话 密 钥 ,攻击 者 就 能 解密 数据 包 。 

(4) 用 于 通信 双方 协商 和 管理 连接 过 程 的 控制 信道 (TCP 1723 端口 ) 完 全 没有 认证 
功能 ,很 可 能 遭受 拒绝 服务 攻击 和 假冒 攻击 。PPTP 的 脆弱 性 之 一 是 它 依赖 于 PPP,PPP 
比 其 他 通信 协议 优越 的 地 方 是 设置 并 初始 化 通信 参数 ,但 由 于 PPP 没有 识别 包 的 鉴别 机 
制 , 很 可 能 会 发 生 中 间 人 攻击 ,如 欺骗 PPTP 服务 器 以 获得 机 密 的 认证 信息 。 

(5) 只 有 数据 负载 是 经 过 加 密 的 ,攻击 者 可 窃听 控制 信道 中 的 数据 流 得 到 有 用 信息 。 


14.5 ”VPN 的 使 用 现状 


目前 使 用 比较 多 的 是 ,结合 使 用 L2TP 协议 (远程 隧道 访问 ) 和 IPSec 协议 (封装 和 加 
密 ) 两 者 的 优点 来 进行 身份 认证 ,机密 性 保护 、 完 整 性 检查 和 抗 重 放 。 这 使 得 L2TP 协议 
已 经 基本 上 取代 了 PPTP 协议 的 使 用 , Windows 2000 后 就 有 内 置 的 L2TP/IPSec 组 合 ， 
可 以 对 IP 报 文 嵌 套 封装 ,经 L2TP/IPSec 嵌 套 封装 的 报 文 如 图 14. 3 所 示 。 基 于 L2TP 
协议 的 “加 密 ” 使 用 在 IPSec 身份 认证 过 程 中 生成 的 密 钥 ,利用 IPSec 加 密 机 制 加 密 L2TP 
消息 。 要 注意 的 是 : 可 能 拥有 非 基 于 IPSec( 非 加 密 ) 的 L2TP 连接 ,在 这 种 连接 中 PPP 
有 效 负载 是 以 明文 方式 传送 的 。 这 种 类 型 的 连接 不 安全 ,所 以 Internet 上 的 VPN 连接 不 
推荐 使 用 非 加 密 的 L2TP 连接 ( 即 不 要 单独 使 用 L2TP) 。 

原始 报 文 


NewIP| ESP 攻 L2TP PPP | IP/APX 


上 层 
数据 


加 密 后 的 报 文 -| 
经 过 验证 后 的 报 文 


ESP ESP 
Trailer | Authen 


Header | Header | Header | Header | Header | Header 


14.3 经 L2TP/IPSec 嵌 套 封装 的 报 文 


通过 上 述 分 析 , 纵 观 各 种 VPN 技术 的 发 展 过 程 和 趋势 ,可 以 认为 具有 良好 发 展 前 景 
的 几 种 VPN 技术 是 : IPSec( 最 安全 、 适 用 面 最 广 的 IP 协议 )、SSL( 实 现 VPN 的 新 兴 技 
术 , 具 有 高 层 安全 协议 的 优势 )`L2TP( 最 好 的 实现 远程 接 人 VPN 的 技术 ) 以 及 正在 开发 
中 的 宽带 和 无 线 VPN 安全 协议 。 除 了 上 述 技术 的 各 自发 展 和 应 用 外 ,各 种 现 有 VPN 技 
术 的 相互 结合 .取长补短 更 是 未 来 VPN 研究 的 发 展 方向 ,以 适应 各 种 复杂 的 网 络 环境 ， 
如 IPSec 与 SSL、IPSec 与 L2TP 技术 的 结合 等 。 

VPN 的 缺点 是 : 需要 为 数据 加 密 增加 处 理 开销 ;需要 添加 报 文 头 而 增加 报 文 开 销 ; 
VPN 在 具体 实现 时 也 存在 如 能 否 穿越 NAT 等 问题 ;对 VPN 进行 故障 诊断 很 困难 ;连接 
的 VPN 用 户 也 会 有 安全 性 问题 等 。 
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习题 


. 什么 是 虚拟 专用 网 ? 它 主要 使 用 了 哪 几 种 技术 实现 的 ? 
. VPN 技术 有 什么 作用 ? 
. 什么 是 VPN 的 隧道 (封装 ) 技 术 ? 
.VPN 与 一 般 的 专用 网 有 何 区 别 ? 
. 不 同 的 VPN 技术 可 在 不 同 的 OSI 协议 层 实现 , 简 述 每 一 种 VPN 的 实现 技术 。 
. SSL VPN 和 IPSec VPN 主要 有 哪些 不 同 (可 从 应 用 范围 功能 和 成 本 等 方面 作 比 
较 )? 哪些 情况 下 适合 使 用 SSL VPN? SSLVPN 如 何 与 IPSec VPN 结合 使 用 ? 

7. 什么 是 自愿 隧道 和 强制 隧道 ? 

8. 什么 是 第 二 层 隧道 协议 和 第 三 层 隧道 协议 ? 两 者 有 什么 不 同 ? 

9. 在 L2F、PPTP 和 L2TP 三 种 第 二 层 隧 道 协 议 中 , 哪 种 更 有 优越 性 ? L2TP 和 其 他 
两 种 有 什么 关系 ? 

10. 现在 人 们 一 般 如 何 结合 使 用 L2TP 和 IPSec 协议 来 创建 一 个 更 加 安全 的 VPN 
隧道 ? 


中 上 上 om 
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第 15 章 ”入 侵 检测 系统 和 网 络 诱骗 系统 


当 人 们 讨论 网 络 安全 时 ,很 多 人 就 会 想起 黑客 人 侵 的 故事 ,本 章 将 介绍 人 侵 检测 的 基 
本 概念 和 相关 技术 。 入 侵 (intrusion) 被 定义 为 所 有 企图 危及 到 资源 的 机 密 性 、 完 整 性 和 
可 用 性 的 行为 。 入 侵 行为 企图 暗中 破坏 系统 的 安全 措施 以 达到 访问 非法 信息 、 改 变 系统 
行为 和 破坏 系统 可 用 性 的 目的 。 入 侵 是 个 广义 的 概念 ,不 仅 包括 被 发 起 攻击 的 人 (如 恶意 
的 黑客 ) 取 得 超出 合法 范围 的 系统 控制 权 , 也 包括 收集 漏洞 信息 ,造成 拒绝 访问 等 对 计算 
机 系统 造成 危害 的 行为 。 

传统 的 信息 安全 技术 主要 有 身份 认证 访问 控 制 . 加 密 技 术 和 防火 墙 技术 等 。 这 些 技 
术 都 集中 在 系统 自身 的 加 固 和 防护 上 。 随 着 网 络 应 用 的 深入 ,网 络 人 侵 越 来 越 频繁 地 发 
生 , 仅 仅 依赖 被 动 防御 已 经 不 足以 抵抗 恶意 人 侵 行为 ,我 们 需要 一 种 能 主动 监视 网 络 的 安 
全 措施 ,应 运 而 生 的 就 是 人 侵 检 测 技术 。 入 侵 检 测 作为 一 种 积极 主动 的 安全 技术 ,已 成 为 
维护 网 络 安全 的 重要 手段 之 一 ,并 在 网 络 安全 中 发 挥 着 越 来 越 重 要 的 作用 。 本 章 主要 介 
绍 人 侵 检 测 的 基本 概念 .组 成 ,体系 结构 .检测 技术 ,标准 化 问题 和 发 展 方向 等 。 


15.1 人 侵 检 测 概述 


入 侵 检 测 技术 作为 20 世纪 80 年 代 出 现 的 一 种 积极 主动 的 网 络 安全 技术 ,是 PPDR 
模型 的 一 个 重要 组 成 部 分 。 与 传统 的 加 密 和 访问 控制 等 常用 的 安全 方法 相 比 ,入 侵 检 测 
系统 (Intrusion Detection System,IDS) 是 全 新 的 计算 机 安全 措施 , 它 不 仅 可 以 检测 来 自 
网 络 外 部 的 入 侵 行为 ,同时 也 可 以 检测 来 自 网 络 内 部 用 户 的 未 授权 活动 和 误 操 作 , 有 效 地 
弥补 了 防火 墙 的 不 足 , 被 称 为 防火 墙 之 后 的 第 二 道 安全 闸门 。 此 外 , 它 在 必要 的 时 候 还 可 
以 采取 措施 阻止 人 侵 行为 的 进一步 发 生 和 破坏 。 因 此 ,从 网 络 安全 立体 纵深 多 层次 防御 
的 角度 出 发 ,入 侵 检测 理应 受到 人 们 的 高 度 重视 。 


15.1.1 入 侵 检 测 的 概念 


防火 墙 可 以 看 作 是 网 络 安全 的 第 一 道 防线 ,实际 上 防火 墙 也 存在 这 一 些 局 限 性 ,现今 
流行 的 防火 墙 技术 的 局 限 性 主要 表现 在 : 第 一 ,入 侵 者 可 寻找 防火 墙 背后 可 能 敞开 的 后 
门 ;第 二 ,不 能 阻止 内 部 攻击 ;第 三 ,通常 不 能 提供 实时 的 入 侵 检 测 能 力 ; 第 四 ,不 能 主动 跟 
踪 和 侵 者 ;第 五 ,不 能 对 病毒 进行 有 效 防 护 。 所 以 需要 入侵 检测 系统 作为 防火 墙 的 有 效 补 
充 , 共 同 构建 网 络 安全 保障 体系 。 

假如 说 防火 墙 是 一 峡 大 楼 的 大 门 门 锁 , 那 么 人 侵 检 测 系统 就 是 这 幢 大 楼 里 的 监控 系 
统 。 门 锁 可 以 防止 大 部 分 小 偷 进 入 大 楼 ,但 有 些小 偷 可 以 利用 大 楼 的 漏洞 (如 通过 没 关 好 
的 窗户 ) 进 入 大 楼 内 部 ,同时 不 能 防止 大 楼 内 部 个 别人 员 的 不 良 企图 ,对 于 这 些 情 况 门 锁 
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就 没有 任何 作用 了 。 网 络 系统 中 的 和 人 侵 检测 系统 恰恰 类 似 于 大 楼 内 的 监控 系统 和 报警 装 
置 ,即使 有 人 混 进 了 大 楼 内 部 ,只 要 有 监控 系统 就 可 以 检测 到 大 部 分 非法 行为 。 入 侵 检测 
分 为 实时 和 非 实时 ,实时 和 人 侵 检测 类 似 于 小 偷 一 开始 偷 东西 ,就 能 及 时 发 现 ; 非 实时 的 和 
侵 检 测 系统 通常 无 法 在 第 一 时 间 报 警 ,主要 用 于 事后 分 析 , 类 似 于 发 现 有 东西 被 盗 穷 了 ， 
警察 调 取 监控 资料 寻找 犯罪 嫌疑 人 。 所 以 入 侵 检测 可 以 看 成 防火 墙 之 后 的 第 二 道 防线 ， 
在 网 络 安全 监测 中 是 十 分 必要 的 。 

入 侵 检测 系统 是 进行 人 侵 检 测 的 软件 与 硬件 的 组 合 , 它 从 计算 机 网 络 或 计算 机 系统 
中 的 若干 关键 点 搜集 信息 并 对 其 进行 分 析 , 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 
的 行为 和 但 到 袭击 的 迹象 ,并 根据 监视 结果 采取 不 同 的 安全 措施 ,最 大 限度 地 降低 可 能 的 
入 侵 危 害 。 与 其 他 安全 产品 不 同 的 是 ,入 侵 检测 系统 需要 更 多 的 智能 , 它 必 须 可 以 将 得 到 
的 数据 进行 分 析 , 并 得 出 有 用 的 结果 。 一 个 合格 的 入 侵 检 测 系统 能 大 大 地 简化 管理 员 的 
工作 ,保证 网 络 安全 的 运行 。 因 为 入侵 行为 不 仅 可 以 来 自 外 部 ,同时 也 可 来 自 内 部 用 户 的 
未 授权 活动 ,所 以 一 个 有 效 的 入侵 检 测 系统 应 当 能 够 检测 两 种 类 型 的 入侵 : 来 自 外 部 世 
界 的 间 和 者 和 来 自 内 部 的 攻击 者 。 

入侵 检测 系统 基本 上 不 具有 访问 控制 的 能 力 , 它 就 像 一 个 有 着 多 年 经 验 、 熟 悉 各 种 人 
侵 方 式 的 安全 管理 员 ,通过 对 数据 包 流 的 分 析 , 可 以 从 数据 流 中 过 滤 出 可 疑 数据 包 , 通 过 
与 已 知 的 入 侵 方式 或 正常 使 用 方式 进行 比较 ,来 确定 入 侵 是 否 发 生 和 入 侵 的 类 型 并 进行 
报警 。 安 全 管理 员 根 据 这 些 警 报 就 可 以 确切 地 知道 所 受到 的 攻击 并 采取 相应 的 措施 。 因 
此 ,可 以 说 人 侵 检测 系统 是 安全 管理 员 经 验 积累 的 一 种 体现 , 它 极 大 地 减轻 了 安全 管理 员 
的 负担 ,降低 了 对 安全 管理 员 的 技术 要 求 ,提高 了 网 络 安全 管理 的 效率 和 准确 性 。 


15.1.2 入 侵 检 测 的 历史 


对 入 侵 检测 的 研究 最 早 可 以 追溯 到 20 世纪 80 年 代 。1980 年 ,James Anderson 在 其 著 
名 的 技术 报告 Computer Security Threat Monitoring and Surveillance( 计 算 机 安全 威胁 监控 
与 监视 ) 中 首先 提出 了 入 侵 检 测 的 概念 ,他 将 入 侵 检测 划分 为 外 部 闻 入 、 内 部 授权 用 户 的 越 
权 使 用 和 滥用 三 种 类 型 ,并 提出 用 审计 追踪 来 监视 入 侵 威 胁 。 然 而 ,这 一 设想 在 当时 并 没有 
引起 人 们 的 注意 ,入 侵 检测 真正 受到 重视 和 快速 发 展 还 是 在 Internet 兴起 之 后 。 

1986 年 , Denning 提出 了 一 个 经 典 的 入 侵 检 测 模型 (Intrusion Detection Expert 
System,IDES) ,被 认为 是 入 侵 检测 系统 的 开山 之 作 ,如 图 15. 1 所 示 。 她 首次 将 人 侵 检测 
的 概念 作为 一 种 计算 机 系统 的 安全 防御 措施 提出 。 该 模型 由 6 个 部 分 组 成 ,包括 活动 主 
体 、 对象、 审计 记录 、 轮 廓 特征 .异常 记录 、 活 动 规则 , 它 独立 于 特定 的 系统 平台 、 应 用 环境 
系统 弱点 以 及 人 侵 类 型 ,为 构建 人 侵 检测 系统 提供 了 一 个 通用 的 框架 。 在 Denning 的 经 
典 入 侵 检测 模型 中 ,提出 了 误 用 检测 (misuse detection) 和 异常 检测 (anomaly detection) 
的 方法 ,这 两 类 方法 至 今 在 人 侵 检测 系统 、 恶 意 软 件 检测 等 技术 中 使 用 。 

1990 年 ,加 州 大 学 戴 维 斯 分 校 的 L. T. Heberlein 等 开发 出 了 网 络 安全 监视 器 
(Network Security Montior，NSMD ,至 此 ,入 侵 检测 系统 被 分 为 两 个 基本 类 型 : 基于 网 
络 的 IDS 和 基于 主机 的 IDS。 
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15.1 通用 入 侵 检 测 模型 


自从 1988 年 的 英里 斯 蠕虫 事件 发 生 之 后 ,美国 一 些 研 究 机 构 开 始 对 分 布 式 入 侵 检 测 系 
统 (Distributed Intrusion Detection System，DIDS) 进 行 研究 ,将 基于 主机 和 基于 网 络 的 检测 
方法 集成 在 一 起 ,使 得 DIDS 成 了 分 布 式 人 侵 检测 系统 历史 上 的 一 个 里 程 碑 式 的 产品 。 

从 20 世纪 90 年 代 到 现在 ,入 侵 检测 系统 的 研发 呈现 出 百家争鸣 的 繁荣 局 面 ,并 在 智 
能 化 和 分 布 式 两 个 方面 取得 了 长 足 的 进步 。 

1994 年 , Mark Crosbie 和 Eugene Spafford 首次 建议 使 用 自治 代理 (autonomous 
agents) 来 提高 IDS 的 可 伸缩 、 可 维护 性 ,效率 和 容错 性 。 

1996 年 出 现 了 基于 图 形 的 入 侵 检测 系统 (Graph-based Intrusion Detection System， 
GrIDS) , 它 的 设计 和 实现 使 得 对 大 规模 自动 或 协同 攻击 的 检测 更 为 便利 。 

同年 ,Forrest 等 首次 将 免疫 原理 运用 到 分 布 式 的 入 侵 检测 领域 。 此 后 ,在 IDS 中 还 
出 现 了 遗传 算法 .遗传 编程 的 运用 。 

1997 年 ,Ross Anderson 和 Abida Khattak 将 信息 检索 技术 引进 到 了 入 侵 检测 领域 。 

1998 年 , Wenke Lee 首次 提出 了 运用 数据 挖掘 技术 对 审计 数据 进行 处 理 。 

1999 年 ,Steven Cheung 等 又 提出 了 入 侵 容忍 (intrusion tolerance) 的 概念 ,在 IDS 中 
引入 了 容错 技术 。 

2000 年 ,Timm Bass 提出 了 数据 融合 (data fusion) 的 概念 ,将 分 布 式 入 侵 检 测 理解 为 
在 层次 化 模型 下 对 多 感应 器 的 数据 综合 问题 。 

2000 年 之 后 的 几 年 ,入 侵 检测 系统 发 展 很 快 ,如 ISS、Cisco、Axent、NSW、NFR 等 公 
司 和 组 织 都 发 布 了 它们 的 产品 ,这 些 产 品 各 有 自己 的 优势 。 由 于 通用 标准 的 缺乏 ,不 同 的 
人 侵 检 测 系 统 之 间 还 不 能 有 效 地 进行 互 操作 。 


15.1.3 入 侵 检 测 系统 的 功能 


入 侵 检 测 系统 包括 三 个 功能 部 件 : 信息 源 、 分 析 引 擎 和 响应 部 件 。 
。 信息 源 指 收 集 事件 记录 流 , 包 括 网 络 数据 包 、 操 作 系 统 日 志 等 。 
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。 分 析 引 擎 是 人 侵 检测 的 核心 , 指 通过 分 析 信息 源 发 现 人 侵 迹象 的 分 析 技术 。 
。 响应 部 件 指 基于 分 析 引 擎 的 结果 产生 响应 的 部 件 ,通常 包括 报警 .切断 网 络 连接 
等 处 理 方法 。 

因此 ,入 侵 检测 系统 可 以 看 作 这 样 的 管理 工具 : 它 从 计算 机 网 络 的 各 个 关键 点 收集 
各 种 系统 和 网 络 资源 的 信息 ,然后 分 析 有 入 侵 和 误 用 迹象 的 信息 ,并 识别 这 些 行 为 和 活 
动 。 在 某 些 情况 下 , 它 可 以 自动 地 对 检测 到 的 活动 进行 响应 ,报告 检测 过 程 的 结果 ,从 而 
帮助 计算 机 系统 对 付 攻击 。 人 入侵 检测 系统 也 可 以 包括 一 个 所 谓 的 * 蜜 饶 ”(Honeypot)， 
人 为 留 下 一 些 明 显 的 安全 漏洞 ,以 引诱 攻击 者 对 这 些 漏洞 进行 人 侵 , 从 而 为 研究 人 侵 行为 
提供 信息 。 

入 侵 检 测 系统 的 主要 功能 是 : 

。 监视 用 户 和 系统 的 活动 ,查找 非法 用 户 和 合法 用 户 的 越权 操作 。 

。 审计 系统 配置 的 正确 性 和 安全 漏洞 ,并 提示 管理 员 修补 漏洞 。 

。 对 用 户 的 非 正常 活动 进行 统计 分 析 , 发 现 人 侵 行 为 的 规律 。 

。 检查 系统 程序 和 数据 的 一 致 性 与 正确 性 。 

。 能 够 实时 地 对 检测 到 的 入 侵 行为 进行 反应 。 

。 操 作 系 统 的 审计 跟踪 管理 。 

对 一 个 成 功 的 入 侵 检 测 系统 而 言 , 它 不 但 可 使 系统 管理 员 时 刻 了 解 网 络 系统 (包括 程 
序 ,文件 和 硬件 设备 等 ) 的 任何 变更 ,还 能 为 网 络 安 全 策略 的 制定 提供 指南 。 更 为 重要 的 
一 点 是 , 它 应 该 管理 配置 简单 ,从 而 使 非 专 业 人 员 也 能 非常 容易 地 利用 它 对 网 络 实施 安全 
保护 。 入 侵 检 测 的 规模 还 应 根据 网 络 威胁 、 系 统 构 造 和 安全 需求 的 改变 而 改变 。 在 发 现 
入 侵 后 ,应 能 及 时 做 出 响应 ,包括 切断 网 络 连 接 、 记 录 事 件 和 报警 等 。 


15.1.4 入 侵 检 测 系统 的 分 类 


入 侵 检 测 系统 可 以 从 不 同 的 角度 进行 分 类 ,目前 主要 有 以 下 几 种 分 类 方法 。 
1. 按照 信息 源 的 来 源 


按照 采集 器 的 信息 来 源 ,入 侵 检测 系统 可 分 为 两 种 , 即 基 于 主机 的 IDS 和 基于 网 络 
的 IDS。 

(1) 基于 主机 的 IDS(Host-based Intrusion Detection System, HIDS): 通过 监视 和 
分 析 所 在 主机 的 审计 记录 检测 人 侵 。 优 点 是 可 精确 判断 入 侵 事件 ,并 及 时 进行 反应 ,不 受 
网 络 加 密 的 影响 。 缺 点 是 会 占用 宝贵 的 主机 资源 。 另 外 ,不 能 保证 及 时 采集 到 审计 记录 
也 是 这 种 系统 的 弱点 之 一 ,因为 人 侵 者 会 将 主机 审计 子 系统 作为 攻击 目标 。 典 型 的 系统 
主要 有 : Computer Watch 、Discovery、Haystack、IDES、ISOA 、MIDAS 以 及 Los Alamos 
国家 实验 室 开发 的 异常 检测 系统 W&S。 

(2) 基于 网 络 的 IDS(Network-based Intrusion Detection System，NIDS): 通过 在 共 
享 网 段 上 对 主机 之 间 的 通信 数据 进行 侦 听 ,分 析 可 疑 现 象 。 这 类 系统 不 需要 主机 通过 严 
格 的 审计 ,主机 资源 消耗 少 , 可 提供 对 网 络 通用 的 保护 而 无 须 顾 及 异 构 主 机 的 不 同 架构 。 
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但 它 只 能 监视 经 过 本 网 段 的 活动 , 且 精 度 较 差 ,在 交换 网 络 环境 下 难于 配置 , 防 欺 骗 能 力 
也 较 差 。 随 着 互联 网 技术 的 发 展 ,对 于 基于 网 络 的 IDS ,出 现 两 个 比较 大 的 挑战 ,一 是 网 
络 上 出 现 了 大 量 对 数据 进行 加 密 的 网 络 应 用 ,影响 了 NIDS 的 数据 包 的 检测 ;二 是 随 着 网 
络 速度 的 提高 ,NIDS 难以 处 理 高 速 网 络 上 的 海量 数据 。 典 型 的 NIDS 系统 有 : 为 Los 
Alamos 国家 实验 室 的 集成 计算 机 网 络 设 计 的 网 络 异常 检测 和 入 侵 检 测报 告 NADIR, 这 
是 一 个 自动 专家 系统 ;加 利 福 尼 亚 大 学 的 NSM 系统 , 它 通过 广播 LAN 上 的 信息 流量 来 
检测 人 侵 行为 ;分 布 式 人 侵 检测 系统 DIDS 等 。 

当然 ,以 上 两 种 人 侵 检测 系统 都 具有 自己 的 优点 和 不 足 , 可 互相 作为 补充 。 通 常 , 一 个 
完备 的 人 侵 检 测 系统 一 定 是 基于 主机 和 基于 网 络 两 种 方式 兼备 的 分 布 式 系统 。 事 实 上 , 现 
在 的 商用 产品 也 很 少 是 基于 一 种 数据 源 、 使 用 单一 技术 的 入侵 检测 系统 。 不 同 的 体系 结构 、 
不 同 的 技术 途径 实现 的 入侵 检测 系统 都 有 不 同 的 特点 ,它们 分 别 适 用 于 某 种 特定 的 环境 。 


2. 按照 分 析 引 擎 的 分 析 方 式 


按照 分 析 引 擎 所 采用 的 数据 分 析 方 式 , 入 侵 检测 系统 可 分 为 异常 检测 系统 、. 误 用 检测 
系统 和 混合 检测 系统 。 

(1) 异常 检测 (anomaly detection) 系 统 : 假定 所 有 的 入 侵 行为 都 与 正常 行为 不 同 ,建立 
正常 活动 的 描述 ,当主 体 活动 违反 其 统计 规律 时 , 则 将 其 视 为 可 疑 行为 。 该 技术 的 关键 是 异 
常 阔 值 和 正常 特征 的 选择 。 其 优点 是 可 以 发 现 新 型 的 未 知人 侵 行为 ,缺点 是 容易 产生 误 报 。 

(2) 误 用 检测 (misuse detection) 系 统 : 假定 所 有 和 人 侵 行 为 和 手段 (及 其 变种 ) 都 能 够 
表达 为 一 种 模式 或 特征 ,系统 的 目标 就 是 检测 主体 活动 是 否 符合 这 些 模式 ,如 果 符 合 则 视 
为 可 疑 行为 。 该 技术 的 关键 是 如 何 表达 入 侵 的 模式 ,把 真正 的 入 侵 行为 与 正常 行为 区 分 
开 来 , 因此 入 侵 模式 表达 的 好 坏 直 接 影响 和信 侵 检 测 的 能 力 。 其 优点 是 误 报 少 ,缺点 是 只 
能 发 现 攻击 库 中 已 知 的 攻击 ,无 法 检测 攻击 库 中 没有 的 未 知 新 攻击 , 且 其 复杂 性 将 随 着 攻 
击 数量 的 增加 而 增加 。 

(3) 混合 检测 (hybrid detection) 系 统 : 同时 使 用 以 上 两 种 方法 ,从 而 获得 二 者 的 优点 
而 避免 其 缺点 ,如 何 协同 两 种 方法 同时 工作 是 其 主要 研究 的 问题 。 

目前 ,主流 的 入 侵 检 测 系 统 还 主要 以 误 用 检测 技术 为 主 ,并 结合 异常 检测 技术 。 但 异 
常 检测 的 优势 也 逐渐 被 人 们 所 重视 ,例如 当前 的 杀毒 软件 中 ,通常 使 用 主动 防御 技术 ,其 
实 就 是 借鉴 了 异常 检测 的 思想 ,对 于 未 知 的 病毒 ,即使 不 知道 它 的 特征 码 , 如 果 发 现 其 有 
异常 行为 ,如 修改 注册 表 敏 感 项 ,更改 浏览 器 默认 主页 等 就 发 出 警告 。 


3. 按照 分 析 引 擎 的 部 署 方式 


按照 分 析 引 擎 的 部 署 方式 ,IDS 可 分 为 集中 式 和 分 布 式 两 类 。 

(1) 集中 式 的 IDS: 集中 式 IDS 的 数据 分 析 在 一 个 固定 的 位 置 上 ,独立 于 受 监视 主 
机 。 这 里 不 考虑 数据 收集 的 位 置 ,只 考虑 数据 分 析 的 位 置 。 例 如 ,实时 的 入 侵 检 测 专 家 系 
统 IDES, 应 用 Petri 网 的 入 侵 检测 IDIOT ,检测 网 络 人 侵 和 误 用 的 自动 系统 NARIR。 

(2) 分 布 式 的 IDS: 分 布 式 IDS 的 数据 分 析 在 很 多 位 置 进行 ,和 被 监视 主机 的 数量 成 
比例 。 这 里 只 考虑 数据 分 析 部 件 的 位 置 和 数量 ,而 不 考虑 数据 收集 部 件 。 如 分 布 式 人 侵 
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检测 系统 DIDS、 基 于 图 形 的 入 侵 检测 系统 GrIDS、 针 对 异常 活动 干扰 的 事件 监视 使 能 影 
响 EMERALD、 入 侵 检测 自治 代理 AAFID。 分 布 式 IDS 的 视野 更 广泛 ,但 不 同 数据 源 之 
间 难 以 有 效 地 交换 与 共享 ,不 同 组 件 间 的 协同 分 析 也 存在 较 多 的 挑战 。 


4. 其 他 分 类 方法 


根据 响应 方式 ,入 侵 检测 系统 可 分 为 主动 响应 和 被 动 响 应 。 主 动 响应 对 发 现 的 入 侵 
行为 主动 进行 处 理 以 阻止 攻击 ;被 动 响应 仅仅 对 发 现 的 入 侵 行为 进行 告警 和 写 入 日 志 。 

根据 系统 的 工作 方式 ,可 分 为 离线 检测 和 在 线 检测 。 离 线 检测 在 事后 分 析 审 计 事 件 ， 
从 中 检查 入 侵 活动 ,是 一 种 非 实时 工作 的 系统 ;在 线 检测 包括 对 实时 网 络 数据 包 分 析 、 对 
实时 主机 审计 分 析 , 是 一 种 实时 联机 的 检测 系统 。 

另外 ,根据 系统 检测 频率 ,可 分 为 实时 连续 人 侵 检测 系统 和 周期 性 人 侵 检测 系统 。 

值得 注意 的 是 ,以 上 这 些 分 类 方法 并 不 相 斥 ,一 个 系统 可 以 属于 某 几 类 。 

当然 ,入 侵 攻击 和 入侵 检测 是 矛 与 盾 的 关系 ,各 种 不 同 机 制 的 入 侵 检测 系统 之 间 并 没 
有 绝对 的 优 劣 之 分 。 在 当前 ,由 于 对 计算 机 系统 各 部 分 存在 漏洞 的 情况 、 入 侵 者 的 攻击 行 
为 ,漏洞 与 攻击 行为 之 间 的 关系 都 没有 (也 不 可 能 ) 用 数学 语言 明确 描述 ,无 法 建立 完全 可 
靠 的 数学 描述 模型 ,因而 无 法 通过 数学 和 其 他 侵 辑 方法 从 理论 上 证 明 某 一 个 人 侵 检测 模 
型 的 有 效 性 ,而 只 能 对 于 一 个 已 经 建立 起 来 的 原型 系统 进行 攻防 比较 测试 ,通过 实验 的 方 
法 在 实践 中 检验 系统 的 有 效 性 。 


15.1.5 入 侵 检 测 系统 的 体系 结构 


一 般 来 说 ,入 侵 检测 系统 主要 有 集中 式 、 分 布 式 和 分 层 式 3 种 体系 结构 。 
1. 集中 式 结构 


入 侵 检测 系统 发 展 的 初期 ,IDS 大 都 采用 单一 的 体系 结构 , 即 所 有 的 工作 包括 数据 的 采 
集 、 分 析 都 是 由 单一 主机 上 的 单一 程序 来 完成 ,如 图 15. 2(a) 所 示 。 目 前 ,一 些 所 谓 的 分 布 式 
入 侵 检测 系统 只 是 在 数据 采集 上 实现 了 分 布 式 ,数据 的 分 析 、 入 侵 的 发 现 和 识别 还 是 由 单一 
程序 来 完成 ,如 图 15. 2(b) 所 示 。 因 此 ,这 种 人 侵 检测 系统 实际 上 还 是 集中 式 的 。 

这 种 结构 的 优点 是 : 数据 的 集中 处 理 可 以 更 加 准确 地 分 析 可 能 的 入 侵 行 为 。 缺 
点 是 : 

(1) 可 扩展 性 差 。 在 单一 主机 上 处 理 所 有 的 信息 限制 了 受 监视 网 络 的 规模 ; 分布 式 
的 数据 收集 常会 引起 网 络 数据 过 载 的 问题 。 

(2) 难于 重新 配置 和 添加 新 功能 。 要 使 新 的 设置 和 功能 生效 ,通常 要 重新 启动 。 

(3) 中 央 分 析 器 是 个 单一 失效 点 。 如 果 中 央 分 析 器 受到 入 侵 者 的 破坏 ,那么 整个 网 
络 失去 保护 。 


2. 分 布 式 结构 
随 着 入 侵 检测 产品 日 益 在 规模 庞大 的 企业 中 应 用 ,分 布 式 技术 也 开始 融入 到 入 侵 检 
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考据 采 全 和 分析 0 
数据 采集 数据 条 数据 条 梨 
数据 尖 1 | 
1 数据 浙 数据 源 
(a) 集中 式 人 b) 传统 的 分 布 式 


图 15.2 两 种 IDS 体系 结构 的 比较 


测 产品 中 。 这 种 分 布 式 结构 采用 多 个 代理 在 网 络 各 部 分 分 别 进行 人 侵 检测 ,并 协同 处 理 
可 能 的 入 侵 行为 ,其 优点 是 能 够 较 好 地 实现 数据 的 监听 ,可 以 检测 内 部 和 外 部 的 入 侵 行 
为 。 但 是 这 种 技术 不 能 完全 解决 集中 式 人 侵 检测 的 缺点 。 因 为 当前 的 网 络 普遍 是 分 层 的 
结构 ,而 纯 分 布 式 的 人 侵 检测 要 求 代理 分 布 在 同一 个 层次 , 若 代理 所 处 的 层次 太 低 , 则 无 
法 检测 针对 网 络 上 层 的 入 侵 , 若 代理 所 处 的 层次 太 高 , 则 无 法 检测 针对 网 络 下 层 的 入 侵 。 
同时 由 于 每 个 代理 都 没有 对 网 络 数据 的 整体 认识 ,所 以 无 法 准确 地 判断 跨 一 定时 间 和 空 
间 的 攻击 。 


3. 分 层 结 构 


由 于 单个 主机 资源 的 限制 和 攻击 信息 的 分 布 ,在 针对 高 层次 攻击 (如 协同 攻击 ) 上 ， 
需要 多 个 检测 单元 进行 协同 处 理 ,而 检测 单元 通常 是 智能 代理 。 因 此 ,考虑 采用 分 层 的 结 
构 来 检测 越 来 越 复 杂 的 入 侵 是 比较 好 的 选择 ,如 图 15. 3 所 示 。 


中 央 控 制 台 


第 二 层 | 二 级 代理 二 级 代理 | 村 二 级 代理 | 三 级 代理 


图 15.3 分 层 结 构 的 人 侵 检测 系统 示意 图 


在 树 形 分 层 体系 中 ,最 底层 的 代理 负责 收集 所 有 的 基本 信息 ,然后 对 这 些 信 息 进行 简 
单 的 处 理 ,并 完成 简单 的 判断 和 处 理 。 其 特点 是 所 处 理 的 数据 量 大 、 速 度 快 .效率 高 ,但 它 
只 能 检测 到 某 些 简单 的 攻击 。 

中 间 层 代理 起 承上启下 的 作用 ,一 方面 可 以 接受 并 处 理 下 层 节 点 处 理 后 的 数据 , 另 一 
方面 可 以 进行 较 高 层次 的 关联 分 析 、 判 断 和 结果 输出 ,并 向 高 层 节 点 进行 报告 。 中 间 节 点 
减轻 了 中 央 控 制 台 的 负担 ,增强 了 系统 的 伸缩 性 。 

最 高 层 节点 主要 负责 在 整体 上 对 各 级 结 点 进行 管理 和 协调 ,此 外 , 它 还 可 根据 环境 的 
需求 动态 调整 节点 层次 关系 图 ,实现 系统 的 动态 配置 。 
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网 络 中 攻击 与 防护 的 对 抗 是 一 个 长 期 复杂 的 过 程 。 从 长 远 的 安全 角度 考虑 ,一 个 好 
的 体系 结构 将 提高 整个 安全 系统 的 自 适应 性 和 进化 能 力 。 然 而 ,目前 由 于 通用 标准 的 缺 
乏 , 人 侵 检 测 系统 内 部 各 部 件 缺 乏 有 效 的 信息 共享 和 协同 机 制 ,限制 了 攻击 的 检测 能 力 ， 
并 且 入 侵 检 测 系 统 之 间 也 难以 交换 信息 和 协同 工作 ,降低 了 检测 效率 。 


15.2 人 侵 检 测 技 术 


入 侵 检 测 方法 有 多 种 ,按照 它们 对 数据 进行 分 析 的 角度 ,可 将 它们 分 为 两 大 类 , 即 异 
常 检测 技术 和 误 用 检测 技术 。 


15.2.1 异常 检测 技术 


异常 检测 (anomaly detection) 也 称 基 于 行为 的 检测 ,是 指 根据 使 用 者 的 行为 或 资源 
用 情况 来 判断 是 否 发 生 了 入 侵 ,而 不 依赖 于 具体 行为 是 否 出 现 来 检测 。 该 技术 首先 假设 
网 络 攻击 行为 是 不 常见 的 或 是 异常 的 ,区 别 于 所 有 正常 行为 。 如 果 能 够 为 用 户 和 系统 的 
所 有 正常 行为 总 结 活动 规律 并 建立 行为 模型 ,那么 人 侵 检测 系统 可 以 将 当前 捕获 到 的 网 
络 行为 与 行为 模型 相对 比 , 若 人 侵 行为 偏离 了 正常 的 行为 轨迹 ,就 可 以 被 检测 出 来 。 例 
如 ,系统 把 用 户 早 6:00 点 到 晚 8:00 点 登录 公司 服务 器 定义 为 正常 行为 , 若 发 现 有 用 户 在 
晚 8:00 点 到 早 6:00 点 之 间 ( 如 凌晨 1:00 点 ) 登 录 公司 服 务 器 , 则 把 该 行为 标识 为 异常 行 
为 。 异 常 检 测试 图 用 定量 方式 描述 常规 的 或 可 接受 的 行为 ,从 而 区 别 非常 规 的 、 潜 在 的 攻 
击 行为 。 异 常 检测 技术 的 原理 如 图 15. 4 所 示 。 


15.4 异常 检测 技术 原理 图 


该 技术 的 前 提 条 件 是 入 侵 活动 是 异常 活动 的 一 个 子 集 ,理想 的 情况 是 : 异常 活动 集 
与 人 侵 活动 集 相等 。 但 事实 上 ,二 者 并 不 总 是 相等 的 ,所 以 这 也 是 支持 异常 检测 和 反对 异 
常 检测 所 经 常 争论 的 地 方 ,如 图 15. 5 所 示 ,所 有 行为 共 分 为 4 种 : 入 侵 但 非 异常 , 非 人 侵 
但 表现 异常 .正常 行为 ,人 侵 行 为 。 容 易 争论 的 地 方 是 图 15. 5 中 两 个 圆 形 区 域 的 交集 究 
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竟 有 多 大 ,也 就 是 说 表面 上 正常 ,但 实际 是 人 
侵 活动 的 行为 究竟 多 不 多 。 

异常 检测 技术 主要 包括 以 下 几 种 方法 : 

0) 用 户 行为 概率 统计 模型 

这 种 方法 是 产品 化 的 入侵 检测 系统 中 党 
用 的 方法 , 它 是 基于 对 用 户 历史 行为 建 模 以 及 
在 早期 的 证 据 或 模型 的 基础 上 ,审计 被 检测 用 
户 对 系统 的 使 用 情况 ,然后 根据 系统 内 部 保存 
的 用 户 行为 概率 统计 模型 进行 检测 ,并 将 那些 全 站 沉 有 为 与 从 提 酉 动 
与 正常 活动 之 间 存 在 较 大 统计 偏差 的 活动 标 
识 为 异常 活动 。 它 能 够 学 习 主 体 的 日 党 行为 ,根据 每 个 用 户 以 前 的 历史 行为 ,生成 每 个 用 
户 的 历史 行为 记录 库 , 当 用 户 行为 与 历史 行为 习惯 不 一 致 时 ,就 会 被 视 为 异常。 

在 统计 方法 中 ,需要 解决 以 下 4 个 问题 ， 

。 选 取 有 效 的 统计 数据 测量 点 ,生成 能 够 反映 主体 特征 的 会 话 向 量 。 

。 根 据 主体 活动 产生 的 审计 记录 ,不 断 更 新 当前 主体 活动 的 会 话 向 量 。 

。 采 用 统计 方法 分 析 数 据 ,判断 当前 活动 是 否 符合 主体 的 历史 行为 特征 。 

。 随 着 时 间 变化 ,学 习 主体 的 行为 特征 ,更 新 历史 记录 。 

(2) 预测 模型 

它 基于 这 样 的 假设 ; 审计 事件 的 序列 不 是 随机 的 ,而 是 符合 可 识别 模式 的 。 与 纯粹 
的 统计 方法 相 比 , 它 增加 了 对 事件 顺序 与 相互 关系 的 分 析 , 从 而 能 检测 出 统计 方法 所 不 能 
检测 的 异常 事件 。 这 一 方法 首先 根据 已 有 的 事件 集合 按时 间 顺 序 归纳 出 一 系列 规则 ,在 
归纳 过 程 中 , 随 着 新 事件 的 加 入 , 它 可 以 不 断 改变 规则 集合 ,最 终 得 到 的 规则 能 够 准确 地 
预测 下 一 步 要 发 生 的 事件 。 

(3) 神经 网 络 

通过 训练 神经 网 络 , 使 之 能 够 在 给 定 前 1 个 动作 或 命令 的 前 提 下 预测 出 用 户 下 一 动 
作 或 命令 。 网 络 经 过 用 户 常用 的 命令 集 的 训练 ,一 段 时 间 后 , 便 可 根据 网 络 中 已 存在 的 用 
户 特征 文件 ,来 匹配 真实 的 命令 。 任 何不 匹配 的 预测 事件 或 命令 ,都 将 被 视 为 异常 行为 而 
被 检测 出 来 。 该 方法 的 好 处 是 , 能 够 很 好 地 处 理 噪声 数据 ,并 不 依赖 于 对 所 处 理 的 数据 
的 统计 假设 ,不 用 考虑 如 何 选择 特征 向 量 的 问题 ,容易 适应 新 的 用 户 群 。 缺 点 是 : 命令 窗 
口 的 选择 不 当 容易 造成 误 报 和 漏 报 ;网 络 的 拓扑 结构 不 易 确定 ;入 侵 者 能 够 训练 该 网 络 来 
适应 入 侵 。 


被 判定 为 
是 入侵 行为 


所 有 行为 


15.2.2 误 用 检测 技术 


误 用 检测 (misuse detection) 也 称 基 于 知识 的 检测 , 它 是 指 运用 已 知 攻 击 方法 ,根据 
已 定义 好 的 人 侵 模式 ,通过 判断 这 些 人 侵 模式 是 否 出 现 来 检测 。 它 通过 分 析 入 侵 过 程 的 
特征 、 条 件 、 排 列 以 及 事件 间 的 关系 来 描述 入 侵 行为 的 迹象 。 误 用 检测 技术 首先 要 定义 违 
背 安 全 策略 事件 的 特征 ,判别 所 搜集 到 的 数据 特征 是 否 在 所 搜集 到 的 人 侵 模式 库 中 出 现 。 
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这 种 方法 与 大 部 分 杀毒 软件 采用 的 特征 码 匹 


配 原 理 类 似 , 其 原理 如 图 15.6 所 示 。 
本 该 技术 的 前 提 是 假设 所 有 的 网 络 攻击 行 


为 和 方法 都 具有 一 定 的 模式 或 特征 ,如 果 把 


模式 是 否 玫 配 以 往 发 现 的 所 有 网 络 攻击 的 特征 总 结 出 来 并 
本 建立 一 个 人 侵 信息 库 ,那么 将 当前 捕获 到 的 
报警 网 络 行为 特征 与 人 侵 信 息 库 中 的 特征 信息 相 
ee 比较 ,如 果 匹 配 ,当前 行为 就 被 认定 为 人 侵 
行为 。 
该 技术 主要 包括 以 下 方法 : 
(1) 专家 系统 


用 专家 系统 对 入 侵 进 行 检测 ,经常 是 针对 有 特征 的 入 侵 行为 。 该 技术 根据 安全 专家 
对 可 疑 行为 的 分 析 经 验 来 形成 一 套 推理 规则 ,然后 在 此 基础 上 建立 相应 的 专家 系统 ,由 此 
专家 系统 自动 对 入 侵 行 为 进行 分 析 。 所 谓 的 规则 , 即 知识 ,专家 系统 的 建立 依赖 于 知识 库 
的 完备 性 ,知识 库 的 完备 性 又 取决 于 审计 记录 的 完备 性 与 实时 性 。 因 此 ,该 方法 应 当 能 够 
随 着 经 验 的 积累 而 利用 其 自学 能 力 进行 规则 的 扩充 和 修正 。 

(2) 模型 推理 

入 侵 者 在 攻击 一 个 系统 时 往往 采用 一 定 的 行为 序列 ,如 猜测 口令 的 行为 序列 。 这 种 
行为 序列 构成 了 具有 一 定 行为 特征 的 模型 。 该 技术 根据 入 侵 者 在 进行 人 侵 时 所 执行 的 某 
些 行为 序列 的 特征 ,建立 一 种 和 人 侵 行为 模型 ,并 根据 这 种 模型 所 代表 的 入侵 意图 的 行为 特 
征 , 来 判断 用 户 执行 的 操作 是 否 属于 入 侵 行 为 。 该 方法 也 是 建立 在 对 当前 入 侵 行 为 已 知 
的 基础 上 ,对 未 知 的 入 侵 方 法 所 执行 的 行为 程序 的 模型 识别 需要 进一步 的 学 习 和 扩展 。 
与 专家 系统 通常 放弃 处 理 那些 不 确定 的 中 间 结 论 的 缺点 相 比 , 这 一 方法 的 优点 在 于 它 基 
于 完善 的 不 确定 性 推理 的 数学 理论 。 

(3) 状态 转换 分 析 

状态 转换 法 将 入 侵 过 程 看 作 一 个 行为 序列 ,这 个 行为 序列 导致 系统 从 初始 状态 转 入 
被 入侵 状态 。 该 方法 首先 针对 每 一 种 入 侵 方法 确定 系统 的 初始 状态 和 被 入 侵 状 态 ,以 及 
导致 状态 转换 的 条 件 , 即 导致 系统 进入 被 入侵 状态 必须 执行 的 操作 (特征 事件 )。 然 后 用 
状态 转换 图 来 表示 每 一 个 状态 和 特征 事件 。 当 分 析 审 计 事 件 时 , 若 根据 对 应 的 条 件 布尔 
表达 式 系统 从 安全 状态 转移 到 不 安全 的 状态 , 则 把 该 事件 标记 为 入侵 事件 。 系 统 通过 对 
事件 序列 进行 分 析 来 判断 入侵 是 否 发 生 。 


15.2.3 ”其 他 入 侵 检 测 技术 


近年 来 , 随 着 网 络 及 其 安全 技术 的 飞速 发 展 ,一 些 新 的 入侵 检测 技术 相继 出 现 , 主 要 
包括 : 

(1) 软 计算 方法 

软 计算 方法 包含 神经 网 络 .遗传 算法 与 模糊 技术 。 运 用 神经 网 络 进行 人 侵 检测 有 助 
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于 解决 具有 非 线性 特征 的 攻击 活动 ,而 用 于 入 侵 检测 的 神经 网 络 运用 模糊 技术 确定 神经 网 
络 权重 ,可 加 快 神经 网 络 的 训练 速度 ,提高 神经 网 络 的 容错 和 外 拓 能 力 。 神 经 网 络 方法 的 运 
用 是 提高 检测 系统 的 准确 性 和 效率 的 重要 手段 。 近 年 来 ,还 有 人 运用 遗传 算法 、 遗 传 编程 及 
模糊 理论 进行 人 侵 检 测 。 然 而 ,这 些 方法 还 不 成 熟 ,目前 还 没有 出 现 较 为 完善 的 产品 。 

(2) 计算 机 免疫 学 

这 是 一 个 较 新 的 领域 ,最 初 由 美国 新 墨西哥 大 学 的 Forrest 等 提出 。 该 项 技术 建立 
网 络 服务 正常 操作 的 行为 模型 , 它 首先 收集 一 些 参考 审计 记录 构成 一 个 参考 表 , 表 明正 确 
的 行为 模式 ,并 实时 检测 进程 系统 的 调用 序列 是 否 符合 正常 模式 。 如 果 参 考 表 足 够 详尽 ， 
则 误 报 率 将 很 低 。 但 不 足 的 是 它 不 能 对 付 利用 配置 错误 进行 的 攻击 ,以 及 攻击 者 以 合法 
操作 进行 的 非 授权 访问 等 。 

(3) 数据 挖掘 

1998 年 当时 还 在 哥伦比亚 大 学 读 博 士 的 Wenke lee 将 数据 挖掘 技术 用 于 入 侵 检 测 。 
该 技术 可 以 自动 地 通过 数据 挖掘 程序 处 理 收集 到 的 审计 数据 ,为 各 种 和 人 侵 行为 和 正常 操 
作 建 立 精确 的 行为 模式 ,而 不 需要 人 工分 析 和 编码 入 侵 行为 , 且 系 统 适应 性 好 , 即 相 同 的 
算法 可 用 于 多 种 证 据 数据 。 其 关键 在 于 算法 的 选取 和 建立 一 个 正确 的 体系 结构 。 据 评 
人 ,运用 了 这 种 技术 的 IDS 在 性 能 上 优 于 基于 “知识 ”的 IDS。 

(4) 智能 代理 

代理 具有 如 智能 性 平台 无 关 性 、 分 布 的 灵活 性 、 低 网 络 数 据 流 量 和 多 代理 合作 等 特 
性 ,特别 适合 做 分 布 式 大 规模 信息 收集 和 动态 处 理 。 在 IDS 的 信息 采集 和 处 理 中 采用 代 
理 , 既 能 充分 发 挥 代理 的 特长 ,又 能 大 大 提高 人 侵 检测 系统 的 性 能 和 整体 功能 。 这 方面 的 
研究 包括 Purdue 大 学 的 AAFID (Autonomous Agents for Intrusion Detection) 、SRI 
International 公司 的 EMERALD .日 本 IPA( 信 息 技 术 促 进 机 构 ) 的 IDA。 

当然 ,以 上 入 侵 检测 技术 单独 使 用 并 不 一 定 能 保证 准确 地 检测 出 变化 多 端的 入 侵 行 
为 。 在 网 络 安全 防护 中 应 该 充分 权衡 各 种 方法 的 利弊 ,综合 运用 这 些 方法 ,这 样 才能 更 为 
有 效 地 检测 出 入 侵 者 的 非法 行为 。 


15.3 IDS 的 标准 化 


标准 化 的 工作 对 于 一 项 技术 的 发 展 至 关 重 要 。 在 某 一 个 技术 领域 ,如 果 没 有 相应 的 标 
准 ,那么 该 领域 的 发 展 将 会 是 无 序 的 。 令 人 遗憾 的 是 ,尽管 IDS 经 历 了 20 多 年 的 发 展 , 近 几 
年 又 成 为 网 络 与 信息 安全 领域 的 一 个 研究 热点 ,但 到 目前 为 止 ,没有 一 个 相关 的 国际 标准 出 
现 ,国内 也 没有 IDS 方 面 的 标准 。 因 此 ,IDS 的 标准 化 工作 应 引起 业界 的 广泛 重视 。 


15.3.1 IDS 标准 化 进展 现状 


入 侵 检测 系统 的 市 场 发 展 较 快 , 但 是 由 于 缺乏 相应 的 通用 标准 ,不 同系 统 之 间 缺 乏 互 
操作 性 和 互 用 性 ,大 大 阻碍 了 入 侵 检测 系统 的 发 展 。 为 了 解决 不 同 IDS 之 间 的 互 操作 和 
共存 问题 ,1997 年 3 月 ,美国 国防 部 高 级 研究 计划 局 (DARPA) 开 始 着 手 公 共 入 侵 检 测 框 
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架 (Common Intrusion Detection Framework，CIDF) 标 准 的 制定 ,试图 提供 一 个 允许 人 
侵 检 测 、 分 析 和 响应 系统 .部 件 共享 信息 的 基础 结构 。 加 州 大 学 Davis 分 校 的 安全 实验 室 
完成 了 CIDF 标准 ,Internet 工程 任务 组 (Internet Engineering Task Force, IETF) 成 立 
了 入 侵 检 测 工 作 组 (Intrusion Detection Working Group, IDWG) 负 责 建 立信 侵 检测 数据 
交换 格式 (Intrusion Detection Exchange Format, IDEF) 标 准 , 并 提供 支持 该 标准 的 工 
具 , 以 便 更 高 效率 地 开发 IDS 系统 。 

该 框架 的 主要 目的 是 : IDS 构件 共享 , 即 一 个 IDS 的 构件 可 以 被 另 一 个 IDS 构件 用 ; 
数据 共享 , 即 通 过 提供 标准 的 数据 格式 ,使 得 IDS 中 的 各 类 数据 可 以 在 不 同系 统 之 间 传 
递 并 共享 ;完善 互 用 性 标准 并 建立 一 套 开发 接口 和 支持 工具 ,以 提供 独立 开发 部 分 构件 的 
能 力 。 


15.3.2 入 侵 检 测 工作 组 


为 了 有 效 地 开发 人 侵 检测 系统 ,IETF 的 IDWG 专门 负责 定义 入侵 检测 系统 组 件 之 
间 , 及 不 同 厂商 的 入侵 检测 系统 之 间 的 通信 格式 。 但 目前 只 有 相关 的 草案 (Draft) ,还 未 
形成 正式 的 REFC 文档 。IDWG 文档 有 : 

(1) 入 侵 警 报 协议 (Intrusion Alarm Protocol, IAP) : 该 协议 是 用 于 交换 入 侵 警 报信 
息 , 是 位 于 TCP 之 上 的 应 用 层 协 议 ,也 是 最 早 设计 的 入 侵 检 测 系 统 通信 协议 。 

(2) 入 侵 检 测 交 换 协 议 (Intrusion Detection Exchange Protocol, IDXP): 该 应 用 层 
协议 是 在 入 侵 检测 实体 间 交 换 数据 ,提供 入 侵 检 测报 文 交换 格式 (Intrusion Detection 
Message Exchange Format,IDMEF) ,实现 无 结构 的 文本 、 二 进 制 数据 的 交换 。 


15.3.3 ”公共 入 侵 检测 框架 


为 了 解决 不 同人 侵 检测 系统 之 间 的 互 操 作 性 和 共存 性 ,DARPA 和 加 州 大 学 Davis 分 校 

的 安全 实验 室 在 1998 年 提出 了 公共 入 侵 检测 框架 CIDF 标准 ,其 目的 是 为 人 侵 检测 系统 定 
义 一 个 通用 的 基础 框架 ,使 得 不 同 部 件 ( 包 括 数据 收集 、 分 析 和 响应 ) 能 够 共享 信息 。 此 外 ， 
还 定义 了 通用 入 侵 规 范 语 言 (Common 

Intrusion Specification Language, CISL), 用 

S 整个 计算 环境 中 获得 事件 ,并 向 系统 的 其 

他 部 分 提供 此 事件 。 


于 规范 人 侵 的 描述 。 
事件 数据 库 响应 单元 (2) 事件 分 析 器 (event analyzers): 分 


CIDF 阐述 的 是 一 个 人 侵 检 测 系 统 的 
通用 模型 。 按 功能 , 它 把 一 个 人 侵 检测 系 
图 15.7 入 侵 检测 系统 析 得 到 的 数据 ,并 产生 分 析 结 果 。 


统 分 为 4 个 组 件 ,如 图 15.7 所 示 。 
(1) 事件 产生 器 (event generators): 从 
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(3) 响应 单元 (response units) : 对 分 析 结 果 做 出 反应 的 功能 单元 , 它 可 以 做 出 切断 
连接 改变 文件 属性 等 强烈 反应 ,也 可 以 只 是 简单 的 报警 。 

(4) 事件 数据 库 (event databases) : 是 存放 各 种 中 间 和 最 终 数据 的 地 方 的 统称 , 它 可 
以 是 复杂 的 数据 库 ,也 可 以 是 简单 的 文本 文件 。 

CIDF 将 IDS 需要 分 析 的 数据 统称 为 事件 ,事件 可 以 是 网 络 中 的 数据 包 , 也 可 以 是 从 
系统 日 志 等 其 他 途径 得 到 的 信息 。 在 这 个 模型 中 ,前 三 者 以 程序 的 形式 出 现 , 而 最 后 一 个 
则 往往 是 文件 或 数据 流 的 形式 。 以 上 4 类 组 件 以 通用 入 侵 检 测 对 象 (Generalized 
Intrusion Detection Object，GIDO) 的 形式 交换 数据 ,而 GIDO 通过 一 种 用 CISL 定义 的 
标准 通用 格式 来 表示 。 


15.4 人 侵 检测 的 发 展 


入 侵 检 测 技术 发 展 至 今 虽然 取得 了 很 大 的 进步 ,但 不 够 成 熟 和 完善 ,还 有 很 大 的 研 
究 , 发 展 空间 ,而 现存 的 问题 很 可 能 是 今后 入 侵 检 测 技术 的 主要 研究 方向 。 目 前 存在 的 问 
题 有 : 

(1) 误 警 率 高 。 入 侵 检测 系统 可 能 出 现 的 错误 类 型 有 两 种 : 误 警 (false positive) 和 
漏 报 (false negative) 。 误 警 是 指 入 侵 检 测 系统 将 一 个 合法 的 行为 判断 为 一 个 异常 或 入侵 
行为 : 漏 报 是 指 当 一 个 真正 的 入 侵 活动 出 现时 ,IDS 把 它 当 成 一 个 合法 的 活动 允许 它 通 
过 。 误 警 太 多 会 降低 入 侵 检测 的 效率 ,而 且 会 增加 安全 管理 员 的 负担 ,因为 安全 管理 员 必 
须 调 查 每 一 个 被 报警 的 事件 。 然 而 降低 误 警 的 调节 方案 可 能 会 增加 漏 报 ,因为 表面 上 看 
起 来 是 误 警 的 几 个 异常 行为 ,综合 起 来 可 能 就 是 一 个 真正 的 入 侵 行为 。 漏 报 会 给 人 造成 
安全 的 错觉 ,其 实 系统 可 能 正 遭 受 严 重 的 入侵 。 

(2) 检测 速度 慢 。 目 前 大 多 数 IDS 产品 的 检测 速度 比较 慢 ,不 适应 检测 高 于 
1Gb/s 速度 的 网 络 。 入 侵 检测 系统 通常 需要 对 数据 包 进 行 深度 检测 ,但 是 深度 检测 
对 于 高 速 网 络 上 海量 数据 来 说 代价 太 大 ,目前 在 小 型 局 域 网 中 还 可 以 使 用 千 兆 网 卡 
对 数据 进行 捕获 分 析 , 但 对 于 大 型 网 络 或 骨干 网 络 , 是 难以 用 入 侵 检测 系统 对 所 有 
可 疑 数 据 包 进行 深度 检测 。 因 此 ,为 了 适应 不 断 快速 增长 的 网 络 速度 ,应 用 于 网 络 
入 侵 实 时 检测 上 的 算法 必须 足够 快 ,至 少 应 能 匹配 目前 一 般 的 网 络 速度 ,从 而 提高 
检测 率 、 降 低 漏 报 率 。 

(3) 扩充 性 弱 。 从 实用 的 角度 看 ,检测 算法 应 当 易于 扩充 ,使 得 新 的 攻击 方法 出 现 
时 ,能 够 方便 迅速 地 更 新 检测 手段 ,从 而 检测 到 新 的 或 未 知 形式 的 攻击 。 目 前 ,入 侵 检 测 
系统 在 检测 算法 的 扩充 性 上 还 有 待 研 究 。 

(4) 无 法 破解 加 密 的 入 侵 命令 。 现 在 有 多 种 恶意 软件 和 入 侵 工具 使 用 加 密 技术 传 
送 入 侵 命 令 , 当 这 些 命令 使 用 加 密 技术 进行 处 理 后 ,基于 网 络 的 人 侵 检测 系统 无 法 判 
断 其 是 否 是 入 侵 行为 ,无 法 使 用 已 有 规则 库 与 其 匹配 。 解 决 这 类 问题 ,主要 依赖 于 在 
主机 端 对 其 监控 , 因 其 命令 通常 在 主机 端 进行 解密 ,基于 主机 的 入 侵 检 测 系 统 有 机 会 
发 现 可 疑 行 为 。 
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15.4.1 入 侵 检 测 技术 的 发 展 方向 


随 着 网 络 技术 的 飞速 发 展 ,入 侵 技 术 也 在 日 新 月 异地 发 展 。 交 换 技 术 的 发 展 以 及 通 
过 加 密 信道 的 数据 通信 使 通过 共享 网 段 侦 听 的 网 络 数据 采集 方法 显得 有 些 不 足 , 而 巨大 
的 通信 量 对 数据 分 析 也 提出 了 新 的 要 求 。 总 的 来 看 ,入 侵 检 测 技术 的 发 展 方向 主要 有 以 
来 时 村 

(1) 分 布 式 通 用 入 侵 检测 架构 : 传统 的 IDS 局 限于 单一 的 主机 或 网 络 架构 ,对 异 构 
系统 及 大 规模 的 网 络 检测 明显 不 足 , 并 且 不 同 的 IDS 系统 之 间 不 能 协同 工作 。 因 此 ,有 
必要 发 展 分 布 式 通用 入 侵 检测 架构 。 

(2) 应 用 层 入 侵 检测 : 许多 人 侵 检测 的 语义 只 有 在 应 用 层 才 能 理解 ,而 目前 的 IDS 
仅 能 检测 如 Web 类 的 通用 协议 ,而 不 能 处 理 如 数据 库 系统 等 其 他 应 用 系统 。 

(3) 智能 入 侵 检 测 : 入 侵 方 法 越 来 越 多 样 化 与 综合 化 ,尽管 已 经 有 人 工 智能 、 神 经 网 
络 与 遗传 算法 应 用 于 入 侵 检 测 领 域 ,但 这 只 是 一 些 尝试 性 的 研究 工作 , 仍 需 对 智能 化 的 
IDS 加 以 进一步 的 研究 以 解决 其 自学 习 与 自 适应 能 力 的 问题 。 

(4) 入 侵 检测 系统 的 自身 保护 : 一 旦 人 侵 检测 系统 被 和 人 侵 者 控制 ,整个 系统 的 安全 
将 面临 衣 汝 的 危险 。 因 此 如 何 防止 入 侵 者 对 入 侵 检测 系统 功能 的 前 弱 力 至 破坏 的 研究 将 
在 很 长 时 间 内 持续 下 去 。 

(5) 入 侵 检测 评测 方法 : 用 户 需 对 众多 的 IDS 进行 评价 ,评价 指标 包括 IDS 检测 范 
围 .系统 资源 占用 和 IDS 自身 的 可 靠 性 。 设 计 通 用 的 入 侵 检 测 测试 与 评估 的 方法 与 平 
台 , 实 现 对 多 种 IDS 系统 的 检测 已 成 为 当前 IDS 的 另 一 个 重要 研究 与 发 展 领域 。 

(6) 与 其 他 网 络 安全 技术 相 结合 : 如 防火 墙 、 PKIX、 安 全 电子 交易 SET 等 新 的 网 络 
安全 技术 ,提供 完整 的 网 络 安全 保障 。 

目前 ,国外 一 些 研究 机 构 已 经 开发 出 应 用 于 不 同 操作 系统 的 几 种 典型 的 入 侵 检 测 系 
统 ,它们 通常 采用 静态 的 异常 模型 和 基于 规则 的 误 用 模型 来 检测 入 侵 。 早 期 的 IDS 模型 
设计 用 来 监控 单一 服务 器 ,主要 是 基于 主机 的 入 侵 检 测 系统 ;然而 近期 的 更 多 模型 则 集中 
用 于 监控 通过 网 络 互 连 的 多 服务 器 ,是 基于 网 络 的 人 侵 检测 系统 。 对 于 入 侵 检测 的 研究 ， 
从 早期 的 审计 跟踪 数据 分 析 , 到 实时 入 侵 检测 系统 ,到 目前 应 用 于 大 型 网 络 的 分 布 式 系 
统 , 基 本 上 已 发 展 成 具有 一 定 规模 和 相应 理论 的 研究 领域 。 

入 侵 检 测 系统 作为 现 阶段 网 络 安全 技术 中 研究 与 开发 的 热点 , 它 正 朝 着 高 性 能 、 高 可 
靠 性 、 实 时 、 高 智能 的 方向 发 展 。 分布 式 协同 处 理 、 多 代理 实时 的 入 侵 检 测 系 统 集中 体现 
了 入 侵 检 测 系统 的 发 展 趋势 。 随 着 计算 机 网 络 技术 的 飞速 发 展 ,新 的 攻击 手段 也 层 出 不 
穷 。 现 有 入 侵 检 测 系统 只 有 不 断 更 新 和 改进 ,才能 适应 瞬息 万 变 的 网 络 环 境 的 需求 。 尽 
管 现在 入 侵 检 测 系统 在 技术 上 仍 有 许多 未 克服 的 问题 ,但 正如 攻击 技术 是 不 断 发 展 一 样 ， 
入 侵 检 测 技术 也 会 不 断 地 更 新 成熟。 当然 ,网 络 安全 需要 纵深 的 、 多 样 的 防护 ,即使 拥有 
当前 最 强大 的 人 侵 检测 系统 ,如 果 不 及 时 修补 网 络 中 的 安全 漏洞 ,那么 安全 也 将 无 从 
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15.4.2 从 IDS 到 IPS 和 IMS 


随 着 技术 的 不 断 完善 和 更 新 ,IDS 正 呈 现 出 新 的 发 展 态势 ,IPS (Intrusion Prevention 
System, 人 侵 防 御 系 统 ) 和 IMS(Intrusion Management System, 入侵 管理 系统 ) 就 是 在 
IDS 的 基础 上 发 展 起 来 的 新 技术 。 

总 的 来 说 ,网 络 人 侵 检测 技术 发 展 到 现在 大 致 经 历 了 以 下 三 个 阶段 。 

第 一 阶段 : 入 侵 检测 系统 。IDS 能 够 帮助 网 络 系统 快速 发 现 网 络 攻击 的 发 生 , 扩 展 
了 系统 管理 员 的 安全 管理 能 力 ( 包 括 安全 审计 、 监 视 、 进 攻 识 别 和 响应 ) ,提高 了 信息 安全 
基础 结构 的 完整 性 。 它 能 在 不 影响 网 络 性 能 的 情况 下 对 网 络 进行 监听 ,从 而 提供 对 内 部 
攻击 、 外 部 攻击 和 误 操 作 的 实时 保护 。 但 是 IDS 只 能 被 动 地 检测 攻击 ,而 不 能 主动 地 把 
变化 莫 测 的 威胁 阻止 在 网 络 之 外 。 

第 二 阶段 : 入 侵 防御 系统 (IPS)。IPS 近年 来 得 到 了 较 大 的 发 展 , 多 个 安全 公司 推出 
了 IPS 系统 ,该 技术 综合 了 防火 墙 .IDS 漏洞 扫描 与 评估 等 安全 技术 ,可 以 主动 地 、 积 极 
地 防范 .阻止 系统 入 侵 , 它 部 署 在 网 络 的 进出 口 处 , 当 它 检测 到 攻击 企图 后 ,会 自动 地 将 攻 
击 包 丢掉 或 采取 措施 将 攻击 源 阻 断 , 这 样 攻击 包 将 无 法 到 达 目 标 , 从 而 可 以 从 根本 上 避免 
攻击 。 

IPS 是 针对 IDS 的 不 足 而 提出 的 ,因此 从 概念 上 就 优 于 IDS。IPS 相对 于 IDS 的 进步 
具体 体现 在 : 

(1) 在 IDS 阻 断 功能 的 基础 上 增加 了 必要 的 防御 功能 ,以 减轻 检测 系统 的 压力 。 

(2) 增加 了 更 多 的 管理 功能 ,如 处 理 大 量 信息 和 可 疑 事件 ,确认 攻击 行为 ,组 织 防御 
措施 等 。 

(3) 在 IDS 监测 的 功能 上 增加 了 主动 响应 的 功能 ,一 旦 发 现 有 攻击 行为 ,立即 响应 ， 
主动 切断 连接 。 

(4) IPS 以 串联 的 方式 取代 IDS 的 并 联 方式 接 和 网 络 中 ,通过 直接 嵌入 到 网 络 流量 
中 提供 主动 防护 ,预先 对 入 侵 活动 和 攻击 性 网 络 流量 进行 拦截 。 

虽然 IPS 的 优势 明显 ,但 是 它 与 IDS 一样 ,需要 解决 网 络 性 能 、 安 全 精度 和 安全 效率 
问题 。 首 先 ,IPS 系统 需要 考虑 性 能 , 即 需要 考虑 发 现 人 侵 和 做 出 响应 的 时 间 。IPS 设备 
以 在 线 方式 直接 部 署 在 网 络 中 ,无 疑 会 给 网 络 增加 负荷 ,给 数据 传输 带 来 延 时 。 为 避免 成 
为 性 能 瓶颈 ,IPS 系统 必须 具有 限 速 处 理 数据 的 能 力 , 能 够 提供 与 二 层 或 者 三 层 交 换 机 相 
同 的 速度 ,而 这 一 点 取决 于 IPS 的 软件 和 硬件 加 速 装置 。 除 了 网 络 性 能 之 外 ,IPS 还 需要 
考虑 安全 性 , 尽 可 能 多 地 过 滤 掉 恶意 攻击 ,这 就 同样 面临 误 警 和 漏 报 问题 。 在 提高 准确 性 
方面 ,面临 的 压力 更 大 。 一 旦 IPS 做 出 错误 判断 ,IPS 就 会 放 过 真正 的 攻击 而 阻 断 合 法 的 
事务 处 理 , 从 而 变相 地 形成 拒绝 服务 攻击 ,造成 一 定 的 损失 。 另 外 IPS 还 存在 一 些 其 他 弊 
端 : 比较 适合 阻止 大 范围 的 针对 性 不 是 很 强 的 攻击 ,但 对 单独 目标 的 攻击 阻截 有 可 能 失 
效 ,自动 预防 系统 也 无 法 阻止 专门 的 恶意 攻击 者 的 操作 ;还 不 具备 足够 智能 以 识别 所 有 对 
数据 库 应 用 的 攻击 。 

第 三 阶段 : 入 侵 管理 系统 (IMS) 。IMS 技术 实际 上 包含 IDS、IPS 的 功能 ,并 通过 一 
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个 统一 的 平台 进行 统一 管理 ,从 系统 的 层次 来 防范 入 侵 行 为 。 网 络 安 全 不 是 目标 而 是 过 
程 ,而 其 本 质 是 风险 管理 。IMS 概念 的 提出 与 相应 的 产品 与 服务 出 现 ,可 以 帮助 用 户 建 
立 一 个 动态 的 纵深 防御 体系 ,把 握 整 体 网 络 安全 全 局 。 

IMS 技术 是 一 个 过 程 ,在 行为 未 发 生前 要 考虑 网 络 中 有 什么 漏洞 ,判断 有 可 能 会 形 
成 什么 攻击 行为 和 面临 的 入 侵 危 险 ;在 行为 发 生 时 或 即将 发 生 时 ,不 仅 要 检测 出 入 侵 行 
为 ,还 要 主动 阻 断 ,终止 入 侵 行为 ;在 人 侵 行为 发 生 后 ,还 要 深层 次 分 析 入 侵 行 为 ,通过 关 
联 分 析 , 来 判断 是 否 还 会 出 现下 一 个 攻击 行为 。IMS 具有 大 规模 部 署 、 入 侵 预 警 精确 定 
位 以 及 监管 结合 四 大 典型 特征 ,这些 特征 本 身 具 有 一 个 明确 的 层次 关系 。 

(1) 大 规模 部 署 是 实施 人 侵 管理 的 基础 条 件 , 一 个 有 组 织 的 完整 系统 通过 规模 部 署 
的 作用 ,要 远 远大 于 单 点 系统 简单 的 释 加 ,IMS 对 于 网 络 安全 监控 有 着 同样 的 效用 ,可 以 
实现 从 宏观 的 安全 趋势 分 析 到 微观 的 事件 控制 。 

(2) 入 侵 预 警 。 检 测 和 预警 的 最 终 目 标 就 是 一 个 “ 快 ”, 要 和 攻击 者 比 速度 。 只 有 减 
小 这 个 时 间 差 ,才能 使 损失 降低 到 最 小 。 要 实现 这 个 “ 快 " 字 ,入 侵 预 警 必须 具有 全 面 的 检 
测 途径 ,并 以 先进 的 检测 技术 来 实现 高 准确 度 和 高 性 能 。 入 侵 预 警 是 IMS 进行 规模 部 署 
的 直接 作用 ,也 是 升华 IMS 的 一 个 非常 重要 的 功能 。 

(3) 精确 定位 。 入 侵 预 警 之 后 就 需要 进行 精确 定位 ,这 是 从 发 现 问题 到 解决 问题 的 
必然 途径 。 精 确定 位 的 可 视 化 可 以 帮助 管理 人 员 及 时 定位 问题 区 域 ,良好 的 定位 还 可 以 
通过 接口 和 其 他 安全 设备 进行 合作 抑制 攻击 的 继续 。IMS 要 求 做 到 对 外 定位 到 边界 ,对 
内 定位 到 设备 。 

(4) 监管 结合 。 监 管 结合 就 是 把 检测 提升 到 管理 ,形成 自我 改善 的 全 面 保障 体系 。 
监管 结合 最 重要 的 是 落实 到 对 资产 安全 的 管理 ,通过 IMS 可 以 实现 对 资产 风险 的 评估 和 
管理 。 监管 结合 要 通过 人 来 实现 ,但 并 不 意味 着 大 量 的 人 力 投 入 ,IMS 具备 良好 的 集中 管 
理 手段 来 保证 人 员 的 高 效 ,同时 具备 全 面 的 知识 库 和 培训 服务 ,能 够 有 效 提 高 管理 人 员 知 
识 和 经 验 , 保 证 应 急 体 系 的 高 效 执行 。 

网 络 安全 防护 技术 发 展 到 IMS 阶段 ,已 经 不 再 局 限于 某 类 简单 的 产品 了 , 它 是 一 个 
网 络 整 体 动态 防御 的 体系 ,对 于 入 侵 行 为 的 管理 体现 在 检测 防御 、 协 调 、 管 理 等 各 个 方 
面 ;通过 技术 整合 ,可 以 实现 “可 视 十 可 控 十 可 管 ”, 形 成 综合 的 入 侵 管理 系统 。 

从 IPS 到 IMS, 增 加 了 管理 的 概念 ,这 也 正 是 网 络 安 全 的 发 展 方向 。 在 这 个 网 络 安全 
问题 越 来 越 严 重 的 时 代 , 网 络 安 全 需要 多 层次 、 系 统 的 管理 ,网 络 安全 的 目标 是 保护 核心 
资产 完整 性 ,将 可 能 发 生 的 损失 减 到 最 小 ,投资 回报 率 最 大 化 ,确保 业务 的 连续 运行 。 现 
在 所 说 的 安全 已 经 不 是 单独 一 个 产品 所 能 解决 的 问题 ,需要 多 种 安全 工具 的 协同 合作 ， 
IMS 概念 的 提出 与 相应 产品 及 服务 的 出 现 ,可 以 帮助 用 户 建立 一 个 动态 的 纵深 防御 体 
系 , 从 整体 上 把 握 网 络 安全 。 


15.5 网络 诱 骗 系 统 


网 络 诱骗 系统 ,通常 又 称 为 “ 蜜 缸 (Honeypot) ,是 一 种 主动 防御 技术 ,专门 为 吸引 并 
诱骗 那些 试图 非法 冯 入 他 人 计算 机 系统 的 人 设计 的 。 蜜 镀 能 对 攻击 者 的 刺探 活动 给 予 
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“诱骗 ”反应 ,使 其 相信 被 攻击 的 系统 是 一 个 破绽 百出 的 系统 ,从 而 主动 对 攻击 者 造成 一 定 
的 威胁 和 损害 ,网络 防御 者 就 可 以 掌握 安全 的 控制 权 , 因 此 它 目 前 已 成 为 网 络 安全 研究 热 
点 。 网 络 诱骗 系统 可 消耗 攻击 者 拥有 的 资源 、 增 加 攻击 者 的 工作 量 、 迷 惑 攻击 者 以 延缓 对 
真正 目标 的 攻击 ,甚至 可 以 掌握 攻击 者 的 行为 .跟踪 攻击 者 ,并 有 效 制止 攻击 者 的 破坏 行 
为 ,形成 威慑 攻击 者 的 力量 。 

蜜 饶 的 目的 就 是 用 被 攻击 系统 特有 的 特征 吸引 攻击 者 ,同时 对 攻击 者 的 各 种 攻击 行 
为 进行 分 析 ,并 找到 有 效 的 对 付 方 法 。 网 络 安全 专家 通常 还 在 蜜 饶 上 通过 开启 一 些 通常 
被 黑客 窥探 的 危险 端口 服务 ,完全 模拟 一 个 有 漏洞 系统 ,并 故意 留 下 一 些 安全 后 门 来 吸引 
攻击 者 上 钧 ,或 者 放置 一 些 网 络 攻击 者 希望 得 到 的 敏感 信息 (其 实 都 是 虚假 的 )。 当 攻击 
者 正 为 攻 入 目标 系统 而 沾沾自喜 的 时 候 , 他 的 所 有 行为 都 已 经 被 蜜 饶 所 记录 和 跟踪 。 

密 铅 最 早 的 一 个 应 用 是 AT&T 贝尔 实验 室 Bill Cheswwick 教授 设计 的 一 个 蜜 镀 系 
统 ,1991 年 1 月 7 日 ,一 个 人 侵 者 进入 该 系统 后 以 为 发 现 了 一 个 Sendmail Debug 漏洞 , 想 
借 此 获取 password 文件 ,结果 误 入 Bill Cheswwick 等 设计 的 “诱饵 ? 机 的 一 个 虚拟 文件 系 
统 。 该 设计 小 组 监视 了 入 侵 者 获取 最 高 访问 权限 并 删除 所 有 文件 的 全 过 程 , 并 发 现 人 侵 
者 攻击 源头 在 Stanford 大 学 ,但 实际 身 处 Netherlands 的 事实 。 

网 络 诱骗 系统 具有 如 下 一 些 特点 : 

(1) 蜜 饶 通 过 模拟 一 个 或 多 个 易 受 攻击 的 主机 ,给 攻击 者 提供 一 个 容易 攻击 的 目标 。 
由 于 它 并 没有 向 外 界 提 供 真正 有 价值 的 服务 ,因此 所 有 试图 与 其 进行 连接 的 行为 均 是 可 

(2) 蜜 饶 是 试图 将 攻击 者 从 关键 系统 引诱 开 的 诱骗 系统 ,对 关键 系统 是 一 种 保护 。 
而 且 蜜 饶 主 机 的 防范 不 严密 ,看 上 去 就 像 一 台 真 实 的 服务 器 ,非常 容易 吸引 黑客 来 
攻击 。 

(3) 蜜 饶 是 一 种 资源 , 它 的 价值 是 被 攻击 或 攻陷 。 这 就 意味 着 , 蜜 缸 是 用 来 被 探测 、 
被 攻击 和 最 后 被 攻陷 的 。 攻 击 者 在 蜜 饶 系 统 中 的 时 间 越 长 ,所 使 用 的 技术 就 会 暴露 越 多 ， 
这 样 密 饶 就 可 以 利用 捕获 的 黑客 攻击 信息 来 发 现 新 型 攻击 或 新 型 攻击 工具 。 

(4) 蜜 饶 不 会 直接 提高 计算 机 网 络 安全 ,也 不 能 代替 其 他 的 网 络 防御 系统 ,但 它 却 是 
其 他 安全 策略 所 不 可 蔡 代 的 一 种 主动 防御 技术 ,可 以 和 其 他 安全 机 制 结合 使 用 。 目 前 网 
络 诱骗 系统 已 成 为 一 种 非常 有 效 而 实用 的 网 络 防御 方法 。 

一 个 典型 的 蜜 饶 配 置 如 图 15. 8 所 示 ,在 具体 实施 网 络 诱骗 系统 时 要 注意 如 下 几 点 : 

(1) 应 该 将 它 与 任何 真实 的 产品 系统 相隔 离 ,. 并 尽量 将 蜜 饶 放 置 在 离 Internet 最 近 
的 位 置 ,所 以 一 般 可 将 它 放 置 在 屏蔽 子 网 防火 墙 的 DMZ 上 。 

(2) 蜜 色 与 提供 Web、DNS 网 络 服务 的 作为 代理 服务 器 的 堡垒 主机 不 同 , 它 不 对 外 公 
开 自 己 的 人 地 址 和 提供 网 络 服务 的 端口 号 ,因此 对 蜜 负 主 机 的 所 有 访问 都 有 可 能 是 攻击 。 

(3) 因为 蜜 饶 所 捕获 数据 的 针对 性 强 ,所 以 这 种 网 络 诱骗 系统 可 以 在 一 定 程度 上 克 
服 入 侵 检测 系统 的 一 个 不 足 : 误 报 率 高 。 此 外 , 蜜 缸 还 可 以 捕捉 到 会 被 人 侵 检测 系统 漏 
报 的 新 的 网 络 攻击 方式 。 

(4) 可 以 将 多 种 网 络 防御 系统 相互 结合 以 防范 网 络 攻击 ,如 对 于 被 防火 墙 拦截 或 过 
滤 掉 的 访问 请 求 ,都 可 以 将 其 自动 路 由 转发 到 蜜 缸 主机 ,因为 这 种 访问 请 求 是 攻击 包 的 可 
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服务 器 台式 机 
图 15.8 蜜 摊 配置 图 


能 性 比较 大 。 让 该 请 求 的 发 送 者 在 不 知情 的 情况 下 直接 去 访问 蜜 缸 ,从 而 将 他 的 攻击 行 
为 和 攻击 技术 记录 下 来 。 

(5) 蜜 缸 还 能 为 人 侵 取证 提供 重要 信息 和 有 用 线索 ,但 要 注意 的 是 蜜 饶 的 日 志 记录 
系统 应 在 物理 上 独立 于 蜜 钠 本 身 。 

(6) 应 该 不 限制 蜜 饶 的 输入 业务 的 类 型 ,这 就 使 得 它 看 起 来 更 真实 。 但 从 保证 内 网 
安全 的 角度 分 析 , 防 火 墙 应 该 阻止 蜜 钢 与 内 网 中 其 他 系统 自由 通信 ,而 允许 它 与 Internet 
上 的 主机 自由 通信 ,如 对 外 发 出 自己 的 连接 ,就 可 以 极 大 地 迷惑 入 侵 者 ,使 它 认为 蜜 钠 就 
是 一 个 真实 的 系统 。 当 然 ,为 了 进一步 防止 蜜 缸 有 可 能 成 为 分 布 式 拒绝 服务 攻击 中 用 于 
攻击 内 部 网 络 和 外 部 网 络 的 跳板 ,应 该 限制 蜜 缸 主机 对 一 台 主 机 同时 发 起 的 连接 数 。 


15.5.1 网 络 诱骗 技术 


1. 密 缸 主机 技术 


(D 空 系统 

空 系统 是 标准 的 机 器 ,运行 着 真实 完整 的 操作 系统 及 应 用 程序 。 在 空 系 统 中 可 以 找 
到 真实 系统 中 存在 的 各 种 漏洞 , 它 与 真实 系统 没有 实质 区 别 , 没 有 刻意 模拟 某 种 环境 或 者 
故意 使 系统 不 安全 。 任 何 欺骗 系统 做 得 再 逼真 ,也 决 不 可 能 与 原 系统 完全 一 样 , 所 以 利用 
空 系统 作 蜜 色 是 一 种 简单 的 选择 。 
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(2) 镜像 系统 

攻击 者 往往 要 攻击 那些 对 外 提供 服务 的 主机 , 当 攻 击 者 被 诱导 到 空 系统 或 模拟 系统 
的 时 候 , 会 很 快 发 现 这 些 系 统 并 不 是 期 望 攻击 的 目标 。 更 有 效 的 做 法 是 建立 一 些 提供 网 
络 服务 的 服务 器 镜像 系统 (与 真实 服务 器 基本 一 致 )。 镜 像 系统 对 攻击 者 有 更 强 欺骗 性 ， 
通过 分 析 攻 击 者 对 镜像 系统 所 采用 的 攻击 方法 ,有 利于 管理 员 加 强 真实 系统 的 安全 。 

(3) 虚拟 系统 

在 真实 物理 机 上 运行 仿真 软件 ,对 计算 机 硬件 进行 模拟 ,使 得 在 仿真 平台 上 可 以 运行 
多 个 不 同 的 操作 系统 ,这 样 一 台 真实 机 器 就 变 成 多 台 机 器 ( 称 为 虚拟 机 ) 。 通 常 将 真实 机 
器 的 操作 系统 称 为 宿主 操作 系统 ,在 仿真 平台 上 安装 的 操作 系统 称 为 客户 操作 系统 。 
VMware 是 典型 的 仿真 软件 , 它 在 宿主 操作 系统 和 客户 操作 系统 之 间 建 立 了 一 个 虚拟 的 
硬件 仿真 平台 ,客户 操作 系统 可 以 基于 相同 的 硬件 平台 模拟 出 多 台 虚 拟 主机 。 基 于 同一 
硬件 平台 的 虚拟 系统 如 图 15. 9 所 示 。 


上 人 1 

| 虚拟 主机 1 1 虚拟 主机 2 ! 

上 1 1 1 

| 应 用 系统 1 | | 应 用 系统 2 | 
ss 1 

| 操作 系统 1 | | 操作 系统 2 | 

| 1 

上 1 

ER | 1 斋 件 :>x86、 主板 、 硬盘 、| || 宿主 机 
| 显示 器 、 | 1 显示 器 、 网 络 等 。 |1| 应 用 
| 1 1 ! 系统 


VMware 虚拟 平台 


宿主 机 操作 系统 


硬件 : x86、 主 板 、 硬盘 、 显 示 器 、 网 络 等 
15.9 基于 同一 硬件 平台 的 虚拟 系统 


除了 普通 的 硬件 设备 模拟 之 外 ,VMware 还 支持 网 卡 模拟 : 每 个 虚拟 机 都 拥有 独立 的 卫 
地 址 , 即 可 以 让 一 台 真 实 机 器 模拟 出 连接 在 网 上 的 多 台 主 机 :形成 一 个 虚拟 局 域 网 ,这 样 各 个 
相互 独立 的 虚拟 机 可 以 通过 TCP/IP 协议 进行 通信 。 运 用 VMware 这 些 功能 ,可 以 快速 构建 
多 个 蜜 饶 主 机 。 这 些 虚拟 系统 不 但 逼真 ,而 且 成 本 较 低 ,部 署 和 维护 容易 ,资源 利用 率 高 。 

除了 以 模拟 主机 为 基础 的 蜜 缸 主机 技术 外 ,还 有 以 模拟 网 络 为 基础 的 陷阱 网 络 技术 ， 
陷阱 网 络 实现 的 蜜 饶 系 统 有 时 又 称 为 Honeynet( 蜜 网 ) , 它 由 多 个 蜜 饶 主 机 、 路 由 器 、 防 火 
墙 `, 人 侵 检 测 系统 、 审 计 系统 等 组 成 ,为 攻击 者 制造 一 个 被 攻击 环境 , 供 防 御 者 研究 攻击 行 
为 。 陷 阱 网 络 一 般 需 要 实现 蜜 缸 系统 .数据 控制 .数据 捕获 .数据 记录 、 数 据 分 析 、 数 据 管 
理 等 功能 。 陷 阱 网 络 技术 目前 已 发 展 到 第 三 代 , 第 三 代 陷 阱 网 络 体 系 结构 如 图 15. 10 
所 示 。 

第 三 代 陷 阱 网 络 使 用 多 台 蜜 镀 主机 构成 网 络 ,并 通过 一 个 以 桥接 模式 部 署 的 网 关 
HoneyWall 与 外 部 网 络 连接 。HoneyWall 上 的 连 外 网 的 eth0 接口 和 连 陷阱 网 络 的 ethl 
接口 以 桥接 方式 连接 ,都 没有 IP 地 址 和 MAC 地 址 ,同时 也 不 对 转发 的 网 络 数 据 包 进行 
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图 15.10 第 三 代 陷阱 网 络 体系 结构 


TTL 递减 和 网 络 路 由 ,从 而 使 得 攻击 者 很 难 发 现 HoneyWall。eth2 接口 连接 的 是 与 蜜 饼 
主机 物理 上 相对 独立 的 日 志 服 务 器 ,可 以 对 它 记 录 的 信息 进一步 研究 。 日 志 服 务 器 一 般 
使 用 内 部 IP 地 址 ,防范 非常 严格 ,一 定 要 避免 在 蜜 饶 主 机 被 攻陷 的 同时 日 志 服务 器 也 被 
攻陷 。 

最 新 开发 的 虚拟 陷阱 网 络 (Virtual Honeynet) 与 以 前 的 陷阱 网 络 技术 不 同 的 是 , 它 
将 陷阱 网 络 所 需 功能 集中 到 一 个 物理 设备 中 运行 。 


2. 密 缸 诱导 技术 


蜜 饶 中 诱导 技术 的 作用 是 将 攻击 者 引入 蜜 饶 系 统 ,目前 主要 有 以 下 两 种 技术 

(1) 基于 网 络 地 址 转换 技术 的 诱导 

利用 网 络 地 址 转换 (NAT) 技 术 ,把 攻击 者 对 目标 主机 的 攻击 引 向 事先 设 定好 的 诱骗 
主机 。 这 一 方法 的 优点 是 设置 比较 简单 ,转换 速度 较 快 ,转换 成 功率 较 高 。 目 前 大 多 数 防 
火 墙 都 支持 NAT 技术 ,比较 常见 的 有 Linux 中 的 IPfilter 和 IPtable。 

(2) 基于 代理 技术 的 诱导 

欺骗 系统 设计 得 再 台 真 ,防火 墙 规则 设计 得 再 完备 ,地 址 转换 措施 再 有 效 , 还 是 不 能 
完全 避免 攻击 者 发 现 真正 的 目标 主机 ,也 不 能 绝对 防止 真实 的 目标 不 被 攻击 。 面 对 攻击 
的 到 来 ,目标 主机 除 使 用 Tcpwrapper 等 检测 系统 完整 性 的 软件 外 ,还 可 以 使 用 类 似 代理 
的 技术 将 攻击 数据 流转 向 蜜 缸 主机 ,使 攻击 者 实际 攻击 的 是 蜜 缸 主机 ,目标 主机 则 变 成 攻 
击 者 和 蜜 饶 主 机 之 间 的 桥梁 。 
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3. 密 缸 欺骗 信息 设计 


蜜 铅 使 用 的 欺骗 信息 设计 技术 主要 包括 : 

(1) 端口 扫描 欺骗 信息 设计 

端口 扫描 欺骗 系统 截获 黑客 发 送 的 TCP 扫描 包 后 ,如 果 被 扫描 的 地 址 是 策略 保护 范 
围 内 的 地 址 , 则 该 欺骗 系统 不 是 直接 将 这 些 扫描 命令 过 滤 掉 ,而 是 发 回 与 实际 情况 相反 的 
虚假 数据 包 以 欺骗 攻击 者 ,让 它 对 端口 状态 (监听 或 关闭 ) 的 判断 上 出 现 失误 。 

(2) 主机 操作 系统 欺骗 信息 设计 

@ 修改 系统 提示 信息 : 为 了 解决 主机 主动 向 外 提供 自己 敏感 信息 的 问题 ,将 这 些 应 
用 程序 提供 的 主机 信息 删除 或 修改 成 虚假 的 信息 ,使 攻击 者 很 难 收集 到 关于 主机 的 真正 
信息 。 

@ 用 修改 堆栈 指纹 库 欺骗 协议 栈 指纹 鉴别 技术 : 欺骗 程序 使 用 与 扫描 程序 相同 的 
指纹 库 ,对 截获 的 各 种 扫描 测试 包 ,一 一 对 应 地 发 出 符合 条 件 的 .虚假 的 ,包含 被 扫描 操作 
系统 类 型 信息 的 响应 数据 包 , 这 将 使 欺骗 的 成 功率 大 幅度 提高 。 

(3) 口令 欺骗 信息 设计 

口令 欺骗 系统 由 伪装 口令 产生 器 和 口令 过 滤器 两 部 分 组 成 ， 

@ 伪装 口令 产生 器 用 于 构造 一 些 虚 假 口令 信息 ,这 些 复杂 口令 会 消耗 攻击 者 的 计算 
能 力 并 欺骗 攻击 者 ,减少 攻击 者 在 口令 的 生存 时 间 内 可 猜测 到 的 总 口令 个 数 。 即 使 攻击 
者 破解 出 复杂 口令 ,但 是 这 些 口令 都 是 伪装 的 ,攻击 者 不 能 直接 使 用 这 些 口 令 。 即 使 攻击 
者 知道 口令 是 伪装 的 ,但 需要 判断 口令 的 真 伪 ,这 也 降低 了 攻击 者 的 效率 。 

@ 口令 过 滤器 则 负责 避免 用 户 选 择 伪 装 口令 产生 器 产生 的 口令 。 

(4) 其 他 欺骗 信息 设计 技术 

后 门 欺 骗 信 息 方法 是 在 受 保护 目标 系统 中 ,用 Netcat 构造 开放 虚假 的 后 门 服务 端 
口 ,欺骗 网 络 攻击 者 。Web 扫描 欺骗 方法 是 在 受 保护 的 目标 系统 中 ,构造 一 个 虚假 的 返 
回 状态 代码 (如 经 过 管理 员 修 改 的 HTTP 200 和 HTTP 400 返回 代码 ) 给 攻击 者 ,造成 
误 判 。 


15.5.2 ” 密 色 的 分 类 


1. 低 交 互 度 蜜 钠 ( 产 品 型 蜜 钠 ) 


低 交 互 度 蜜 饶 的 目的 只 是 为 了 减轻 受 保护 网 络 将 受到 的 攻击 威胁 ,所 要 做 的 工作 是 
检测 并 对 付 恶意 攻击 者 , 它 极 大 地 提高 了 检测 非法 入 侵 行为 的 成 功率 。 低 交互 度 蜜 镀 只 
提供 一 些 特殊 的 虚假 服务 ,所 有 进入 数据 流 易 被 识别 和 存储 ,但 不 能 获取 复杂 协议 传输 的 
数据 。 这 种 方式 的 一 个 缺点 是 不 能 观察 攻击 者 和 操作 系统 之 间 的 交互 信息 ,只 能 监听 但 
不 会 发 送 响应 信息 。 低 交互 度 蜜 缸 最 大 的 特点 是 模拟 ,可 以 获得 的 攻击 信息 非常 有 限 。 
它 只 能 对 攻击 者 进行 简单 的 回答 ,如果 攻击 者 与 它 进行 更 多 的 交互 ,就 会 发 现 事 实 的 “ 真 
相 ”。 但 它 是 最 安全 的 蜜 镀 类 型 ,引入 系统 的 风险 最 小 。 
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2. 中 交互 度 密 缸 


中 交互 度 蜜 钠 提 供 更 多 交互 信息 ,更 复杂 攻击 手段 就 可 被 记录 和 分 析 , 但 它 还 没 提供 
一 个 真实 操作 系统 。 在 这 个 模拟 真正 的 操作 系统 行为 的 系统 中 ,用 户 可 以 进行 各 种 随心 
所 和 欲 的 配置 ,看 起 来 和 一 个 真正 的 操作 系统 没有 区 别 。 中 交互 度 蜜 饶 与 攻击 者 之 间 的 交 
互 非常 接近 真正 的 交互 ,所 以 可 以 从 攻击 者 的 行为 中 获得 较 多 信息 。 中 交互 度 蜜 铅 是 一 
个 经 过 修改 的 操作 系统 ,所 以 要 经 常 检测 蜜 镀 状 态 ,查看 整个 系统 是 否 被 入侵 。 相 对 说 
来 ,这 种 蜜 饶 比 较 少 。 


3. 高 交互 度 蜜 缸 (研究 型 蜜 缸 ) 


高 交互 度 蜜 饶 专 门 以 研究 和 获取 攻击 信息 为 目的 而 设计 ,一 般 来 说 ,只 有 那些 需要 进 
行 研究 的 组 织 , 才 使 用 这 种 类 型 的 蜜 饶 , 它 的 最 终 目的 是 找到 保护 相关 系统 的 方法 。 高 交 
互 度 蜜 钢 具 有 一 个 真实 的 操作 系统 , 它 收 集 信息 的 可 能 性 、 吸 引 攻 击 者 来 攻击 的 程度 大 大 
提高 ,但 危险 性 也 增 大 。 

黑客 攻 和 人 系统 的 目的 之 一 就 是 获取 root 权限 ,一 个 高 交互 度 蜜 饶 就 提供 了 这 样 的 环 
境 。 攻 击 者 只 有 攻 和 人 系统、 获得 权限 ,日 志 记录 系统 才能 记录 他 的 所 有 攻击 行为 并 用 于 进 
一 步 研究 ,但 这 时 候 蜜 饶 系 统 也 不 再 是 安全 的 。 

这 类 蜜 饶 最 大 的 特点 是 真实 ,典型 例子 是 Honeynet; 最 大 的 缺点 是 被 人 侵 的 可 能 性 
很 高 ,攻击 成 功 后 ,这 种 蜜 饶 可 以 作为 攻击 其 他 系统 的 跳板 ,所 以 要 采取 措施 防止 它 成 为 
攻击 跳板 。 

历史 上 最 有 名 的 一 个 Honeynet 项 目 是 Honeynet Project, 它 所 使 用 的 蜜 饶 就 是 一 种 
高 交互 度 蜜 饶 , 这 也 是 研究 型 蜜 缸 最 有 名 的 一 次 应 用 ,这 个 应 用 在 很 大 程度 上 说 明了 网 络 
诱骗 系统 存在 的 真正 价值 。Honeynet Project 还 能 提供 性 能 优良 的 取证 工具 ,用 于 分 析 
攻击 者 入侵 时 系统 所 收集 的 攻击 数据 。 

这 个 项 目 由 许多 富有 经 验 的 网 络 安全 专家 组 织 的 ,他 们 设置 了 一 个 很 好 的 模拟 系统 
(对 这 种 研究 型 蜜 钢 来 说 ,这 其 实 就 是 完全 真实 的 漏洞 系统 ) ,跟踪 并 及 时 报道 最 新 发 现 的 
攻击 行为 , 发布 详 细 的 统计 信息 ,以 了 解 黑客 的 所 作 所 为 。 这 个 监控 环境 可 以 将 
Honeynet 和 入 侵 检测 系统 整合 在 一 起 ,有 效 识别 蠕虫 。 如 2000 年 左右 就 利用 研究 型 蜜 
饶 发 现 了 几 个 当时 最 新 的 蠕虫 ,研究 型 蜜 饶 技 术 目 前 同样 是 安全 专家 以 及 安全 组 织 获取 
攻击 者 行为 和 攻击 者 信息 的 最 主要 来 源 之 一 。 


15.5.3 常见 的 网 络 诱骗 工具 及 产品 


基于 Windows 平台 的 Honeypot 有 Winetd、NFR、Mantrap 和 Spector, 基 于 UNIX 
平台 的 典型 则 是 DTK。 
1. DTK 


DTK* 人 允许 ”黑客 对 它 自 己 实施 诸如 端口 扫描 \ 口 令 破 解 以 及 其 他 许多 常用 黑客 手 
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段 ,并 实时 记录 。 

DTK 设计 思路 : 如 果 网 络 上 有 很 多 主机 安装 了 DTK ,黑客 将 频频 遭遇 这 样 的 “ 陷 
阱 ,致使 其 屡屡 碰壁 而 难于 实现 真正 的 攻击 目的 。 久 而 久之 ,黑客 就 习惯 于 在 攻击 之 前 
先 辨别 目标 系统 的 真 伪 。 因 为 安装 DTK 的 主机 上 开放 一 个 标志 性 端口 (TCP 365) ,屡屡 
上 当 的 黑客 一 看 到 开放 这 个 端口 的 主机 就 会 选择 放弃 (他 认为 这 是 一 个 安装 DTK 的 诱 


客 误 认为 这 又 是 一 个 “ 蜜 镀 ” 系 统 而 就 此 罢 手 。 这 就 是 一 个 典型 的 网 络 攻击 者 和 安全 专家 
利用 蜜 缸 技术 和 心理 学 原理 进行 较量 的 实例 。 

DTK 用 C 语言 和 Perl 脚本 语言 写成 ,能 在 支持 C 语言 和 Perl 的 系统 上 运行 。 监 听 
HTTP、Telnet、FTP 等 端口 ,模拟 标准 应 用 服务 器 对 接收 到 的 请 求 做 出 响应 ,给 攻击 者 带 
来 系统 并 不 安全 的 错觉 ,并 记录 攻击 者 的 所 有 行为 。 还 能 模拟 许多 常见 系统 漏洞 (如 
Sendmail 漏洞 ), 以 及 送出 虚假 的 口令 文件 ,使 攻击 者 花费 大 量 的 时 间 去 破译 那些 毫 无 价 
值 的 文件 。 它 的 缺点 是 对 各 种 服务 的 模拟 不 逼真 ,无 法 欺骗 有 经 验 的 攻击 者 ,而 且 仅 限于 
对 已 知 漏洞 的 模拟 。 


2. Spector 


Spector 是 一 种 商业 Honeypot 产品 ,可 以 装 在 Windows 平台 上 ,也 是 一 种 低 交 互 度 
蜜 饶 。 但 它 比 (Back Orifice Friendly,BOF) 蜜 饶 具 备 的 功能 大 得 多 ,不 仅 可 模拟 更 多 服 
务 ,而 且 可 模拟 不 同 的 操作 系统 的 漏洞 ,具有 大 量 预警 和 日 志 功能 。 因 为 作为 一 个 低 交 互 
度 蜜 铅 ,Spector 只 模拟 具有 有 限 交 互 的 服务 ,与 攻击 者 进行 交互 的 并 不 是 真实 的 操作 系 
统 ,所 以 Spector 很 容易 部 署 和 维护 ,使 用 风险 也 很 低 ,但 缺点 是 它 所 能 收集 到 的 信息 有 
限 ,也 比较 容易 被 发 现 。 

例如 ,Spector 可 以 模拟 用 户 选 择 的 操作 系统 的 Web 服务 或 者 远程 登录 服务 , 当 攻 击 
者 进行 连接 的 时 候 ,Spector 就 会 激活 一 个 HTTP 头 或 登录 标识 。 接 下 来 攻击 者 就 会 尝 
试 获得 Web 网 页 或 者 登录 到 系统 中 ,这 些 行为 会 被 Spector 捕获 和 记录 。 到 此 为 止 , 攻 
击 者 就 不 能 再 有 其 他 的 行为 ,这 是 因为 事实 上 并 没有 真正 的 应 用 程序 与 攻击 者 进行 交互 ， 
Spector 完成 的 仅仅 是 一 些 有 限 的 模拟 功能 。Spector 的 价值 在 于 检测 , 它 可 以 快速 并 轻 
松 地 判断 出 谁 在 做 什么 。 


3. Honeyd 


Honeyd 是 一 种 很 强大 的 开放 源 代码 的 低 交互 度 蜜 钠 , 运 行 在 UNIX 平台 上 ,安装 和 
配置 都 相对 简单 ,主要 依赖 于 一 种 命令 行 形式 的 接口 。 它 能 对 可 疑 活动 进行 检测 、 捕 获 和 
预警 ,并 不 只 对 单个 卫 地 址 进行 监视 ,而 是 对 网 络 进行 监视 。 当 Honeyd 检测 到 对 不 存 
在 系统 的 探测 时 ,会 动态 承担 受害 系统 的 角色 ,与 攻击 者 进行 交互 ,这 就 指数 级 地 增加 了 
蜜 饶 检 测 和 捕获 攻击 的 能 力 。 

Honeyd 是 一 个 专用 的 蜜 镀 系统 构建 软件 , 它 可 以 同时 模拟 上 千 台 不 同 的 主机 ,分 别 
具有 上 千 个 不 同 的 IP 地址 。 在 这 些 虚 拟 主 机 上 ,可 配置 运行 不 同 的 服务 和 操作 系统 ,其 
至 可 以 同时 在 应 用 层 和 IP 层 模拟 数 百 个 操作 系统 ,也 就 是 说 ,如 果 蜜 缸 接 收 到 访问 请 求 ， 
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它 模 拟 的 各 种 服务 和 TCP/IP 栈 都 会 模拟 操作 系统 做 出 各 种 响应 ,使 攻击 者 看 起 来 更 


4. ManTrap 


ManTrap 是 一 种 商用 Honeypot, 具 有 较 高 的 交互 度 。ManTrap 是 运行 在 Solaris 上 
的 商业 产品 ,可 以 在 一 台 主 机 上 模拟 其 他 几 个 操作 系统 的 特点 ,其 独特 之 处 在 于 没有 模拟 
任何 服务 ,而 在 一 个 操作 系统 基础 之 上 创建 多 达 4 种 虚拟 操作 系统 (通常 称 为 jail)。 管 理 
员 的 数据 控制 和 捕获 能 力 更 强 , 可 对 一 些 产品 的 应 用 程序 进行 测试 ,如 DNS 服务 器 、Web 
服务 器 和 数据 库 等 ,具有 和 标准 的 产品 系统 相同 的 交互 性 和 功能 。 

ManTrap 不 仅 可 检测 到 扫描 和 未 授权 连接 ,还 可 捕获 到 Rootkit、 应 用 层 攻 击 、 黑 客 
IRC 聊天 对 话 、 未 知 攻 击 和 新 的 漏洞 。ManTrap 的 缺点 是 所 能 模拟 的 操作 系统 十 分 有 
限 ,而 且 它 不 能 限制 攻击 者 的 活动 能 力 , 有 可 能 被 攻击 者 利用 ,作为 攻击 其 他 系统 的 跳板 。 
这 种 蜜 鲍 可 以 作为 产品 型 蜜 钠 用 于 对 入 侵 进 行 检 测 和 响应 ,也 可 以 作为 研究 型 蜜 钢 对 各 
种 威胁 进行 研究 。 


5. Honeynet 


Honeynet 不 是 一 个 单独 的 系统 而 是 由 多 个 系统 和 多 个 攻击 检测 应 用 组 成 的 网 络 , 它 
是 研究 型 蜜 饶 的 典型 代表 ,是 高 交互 度 蜜 缸 的 极限 。Honeynet 在 高 受 控 网 络 上 部 署 的 大 
量 标准 系统 (如 包含 Solaris、Linux、Windows、Cisco 路 由 器 和 Alteon 交换 机 的 网 络 环 
境 ) ,在 Honeynet 中 发 现 的 漏洞 和 弱点 就 是 网 络 系统 真实 存在 的 所 需 改 进 的 问题 。 受 控 
网 络 会 捕获 发 生 在 Honeynet 所 有 活动 ,用 户 可 以 从 中 获得 更 多 的 信息 。Honeynet 对 几 
乎 所 有 现 有 平台 具有 最 大 级 别 信息 捕获 的 能 力 . 它 能 捕获 Internet 上 当前 各 种 威胁 的 信 
息 ,尤其 是 新 的 攻击 方式 和 攻击 工具 。 它 的 最 大 价值 体现 在 被 探测 .攻击 和 攻破 时 ,以 及 
随后 可 以 把 捕获 的 信息 用 来 研究 。 

Honeynet 与 其 他 蜜 钠 的 不 同 之 处 是 它 不 进行 模拟 ,使 用 的 都 是 标准 的 产品 系统 ,对 
真实 的 系统 不 进行 任何 修改 或 改动 很 小 。 这 样 的 Honeynet 令 攻 击 者 可 以 对 所 有 的 系 
统 、 应 用 程序 和 功能 进行 攻击 。 通 过 Honeynet 可 以 获得 的 信息 包括 攻击 者 的 攻击 工具 、 
攻击 策略 、 攻 击 动机 和 攻击 者 通信 的 方法 。Honeynet 的 复杂 性 在 于 对 往来 于 Honeynet 
的 所 有 活动 进行 控制 又 加 以 捕获 的 控制 网 络 的 构建 ,相对 其 他 蜜 饶 来 说 , Honeynet 最 难 
部 署 和 维护 ,风险 最 高 ,必须 保证 Honeynet 不 会 成 为 被 入侵 时 攻击 者 用 于 攻击 他 人 的 
跳板 。 


15.5.4 窜 缸 的 优 缺 点 


蜜 钠 有 如 下 优点 : 

(1) 使 用 简单 。 蜜 把 并 不 涉及 任何 特殊 的 计算 ,不 需要 保存 特征 数据 库 , 也 不 需要 配 
阜 规则 库 。 所 有 蜜 摊 都 只 有 一 个 简单 的 前 提 : 如 果 有 人 连接 到 蜜 缸 ,就 将 他 检测 并 记录 
下 来 。 越 简单 的 技术 有 时 往往 就 越 可 靠 。 
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(2) 占用 资源 少 。 许 多 安全 工具 都 可 能 被 大 量 网 络 流量 淹没 。 而 蜜 饶 仅 捕获 进入 蜜 
镀 的 数据 ,只 对 那些 尝试 与 自己 建立 连接 的 行为 进行 记录 和 响应 ,所 以 不 会 出 现 资源 耗 尽 
的 情况 ,并且 很 多 蜜 缸 都 是 模拟 服务 ,不 会 为 攻击 者 留 下 可 乘 之 机 ,成 为 攻击 者 进行 其 他 
攻击 的 跳板 。 

(3) 数据 价值 高 。 网 络 安全 防御 工具 中 最 难 解决 的 问题 之 一 是 如 何 从 大 量 的 网 络 数 
据 中 寻找 出 自己 所 需要 的 数据 。 使 用 蜜 镀 系 统 , 用 户 可 以 快速 轻松 地 找到 自己 所 需 的 确 
切 信 息 。 这 些 数据 都 具有 很 高 的 研究 价值 ,用 户 不 仅 可 以 获知 各 种 网 络 行为 ,还 可 以 完全 
了 解 进入 系统 的 攻击 者 究竟 做 了 哪些 动作 。 利 用 蜜 缸 可 以 大 大 降低 误 报 率 和 漏 报 率 , 也 
简化 了 检测 的 过 程 。 

蜜 钢 的 缺点 如 下 : 

(1) 数据 收集 面 狭 窗 。 如 果 没 人 攻击 蜜 饶 ,它们 就 变 得 毫 无 用 处 。 也 就 是 说 , 蜜 饶 最 
大 的 缺点 就 是 它 仅仅 可 以 检测 到 那些 对 它 进行 攻击 的 行为 。 如 果 攻击 者 阔 和 人 蜜 饶 所 在 的 
网 络 并 攻击 了 某 些 非 密 负 系统 , 蜜 饶 就 会 对 这 些 行为 一 无 所 知 。 

(2) 指纹 识别 。 指 纹 识别 是 蜜 钢 面 临 的 一 个 主要 问题 ,所 谓 指 纹 识别 是 指 蜜 钢 具 备 
一 些 预 定 的 特征 和 行为 ,因而 能 够 被 攻击 者 识别 出 其 真实 身份 的 情况 。 如 果 攻 击 者 辨别 
出 用 户 系统 为 蜜 钢 , 他 就 会 避免 与 该 系统 进行 交互 并 在 蜜 铅 没 有 发 觉 情 况 下 潜入 用 户 所 
在 网 络 。 

(3) 给 使 用 者 带 来 风险 。 蜜 铅 一 旦 被 攻陷 ,就 可 以 用 于 攻击 、 潜 入 和 危害 其 他 的 系 
统 。 蜜 铅 越 简单 ,所 带 来 的 风险 就 越 小 。 从 具体 形式 来 说 , 仅 进行 服务 模拟 的 蜜 钠 就 很 难 
被 人 侵 。 而 具有 真实 操作 系统 的 蜜 铅 , 因 为 具有 很 多 真实 系统 的 特性 ,就 很 容易 被 入侵 并 
成 为 入侵 者 攻击 其 他 机 器 的 跳板 。 

在 黑客 技术 不 断 改进 的 情况 下 , 蜜 饶 的 上 述 缺 点 会 越 来 越 严重 ,所 以 蜜 饶 技 术 要 继续 
保持 目前 所 具有 的 功能 ,就 必须 在 下 面 几 个 方面 不 断 地 发 展 和 更 新 : 增加 蜜 饶 可 以 模拟 
的 黑客 感 兴趣 的 服务 类 型 ,以 获得 更 多 的 黑客 信息 ;使 大 部 分 蜜 饶 能 够 跨 操作 系统 平台 工 
作 ,增加 蜜 饶 的 使 用 范围 ;在 尽量 降低 风险 的 情况 下 ,提高 蜜 锥 与 人 侵 者 的 交互 程度 ;降低 
高 交互 型 蜜 饶 引 入 的 安全 风险 ;因为 研究 分 布 式 拒绝 服务 攻击 的 需要 , 蜜 饶 还 要 更 进一步 
记录 攻击 者 在 攻陷 一 台 机 器 后 的 所 作 所 为 ,而 这 本 身 就 是 蜜 色 技术 中 的 一 个 难点 ,也 是 对 
蜜 饶 技 术 的 一 个 挑战 。 


习题 


1. 为 什么 说 人 侵 检测 系统 是 防火 墙 之 后 的 第 二 道 防线 , 它 对 防火 墙 的 补充 功能 体现 
在 哪里 ? 
. 入 侵 检 测 系统 可 以 从 哪些 角度 进行 分 类 ? 
. 分 析 基 于 主机 的 入 侵 检测 系统 和 基于 网 络 的 入 侵 检测 系统 各 自 的 优 缺 点 。 
. 异常 检测 的 核心 思想 是 什么 ? 主要 有 哪些 技术 ? 
.人 侵 检测 系统 中 的 误 警 率 和 漏 警 率 指 什么 ? 
. 介绍 IDS 向 IPS 和 IMS 发 展 的 过 程 。 
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7. 什么 是 网 络 诱骗 系统 ? 为 什么 说 它 是 一 种 主动 防御 技术 ? 网 络 诱骗 系统 有 哪些 
具体 的 诱骗 攻击 者 的 作用 ? 

8. 试 阐述 Honeypot 在 网 络 中 的 位 置 以 及 这 样 放置 的 原因 ,这 样 放置 所 起 的 作 

9. 什么 是 陷阱 网 络 技术 ? 它 与 普通 的 Honeypot 有 何不 同 ? 

10. 简单 阐述 口令 欺骗 信息 设计 的 两 个 组 成 部 分 的 功能 。 

11. 举例 说 明 为 什么 高 交互 度 蜜 缸 也 可 以 作为 一 种 研究 型 蜜 镀 。 

12. Honeynet 在 结构 和 功能 上 有 什么 特点 ,与 其 他 蜜 铅 有 何不 同 ? 

13. 蜜 炙 有 哪些 主要 的 优点 和 缺点 ? 

14. 用 下 载 的 Honeypot 工具 ,构造 一 个 简单 的 蜜 饶 系 统 。 


寞 
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无 线 局 域 网 (Wireless Local Area Networks,WLAN) 利 用 无 线 技 术 在 空中 传输 数 
据 、 语 音 和 视频 信号 。 由 于 无 线 局 域 网 具有 方便 、 廉 价 、 传 输 速率 高 等 诸多 优势 ,因此 发 展 
迅速 ,现在 广泛 地 部 署 在 商场 学校 ,办公室 等 公共 场所 。 凡 是 在 无 线 信 号 覆盖 的 地 方 , 人 
们 都 可 以 通过 笔记 本 电脑 ,智能 手机 等 方便 地 访问 Internet。 无 线 技术 以 其 移动 性 的 特 
点 ,彻底 取代 了 旧式 麻烦 的 双 绞 线 , 把 人 们 从 固定 的 有 线 网 络 环境 中 解放 了 出 来 。 

IEEE 在 1997 年 为 无 线 局 域 网 制定 了 第 一 个 版 本 标准 一 一 IEEE 802. 11。 其 中 定义 
了 媒体 访问 控制 层 (MAC 层 ) 和 物理 层 。 物 理 层 定义 了 工作 在 2. 4GHz 的 ISM 频段 上 的 
两 种 扩 频 调制 方式 和 一 种 红外 传输 的 方式 ,总 数据 传输 速率 设计 为 2Mb/s。 两 个 设备 之 
间 的 通信 可 以 设备 到 设备 (Ad hoc) 的 方式 进行 ,也 可 以 在 基站 (Base Station，BS) 或 者 接 
入 点 (Access Point,AP) 的 协调 下 进行 。 为 了 在 不 同 的 通信 环境 下 取得 良好 的 通信 质量 ， 
采用 CSMA/CA(Carrier Sense Multiple Access/Collision Avoidance) 硬 件 沟通 方式 。 

1999 年 加 上 了 两 个 补充 版 本 : 802. 11a 定义 了 一 个 在 5GHz ISM 频段 上 的 数据 传输 
速率 可 达 54Mb/s 的 物理 层 ,802. 11b 定义 了 一 个 在 2. 4GHz 的 ISM 频段 上 数据 传输 速 
率 达到 11Mb/s 的 物理 层 。2. 4GHz 的 ISM 频段 为 世界 上 绝 大 多 数 国 家 通用 ,因此 
802. 11b 得 到 了 最 为 广泛 的 应 用 ,苹果 公司 把 自己 开发 的 802. 11 标准 起 名 叫 AirPort。 
1999 年 工业 界 成 立 了 WiFi 联盟 ,致力 解决 符合 802. 11 标准 的 产品 的 生产 和 设备 兼容 性 
问题 。 后 来 IEEE 802. 11 又 推出 802. 11g、802. 11i、802. 11n 等 一 系列 的 标准 来 完善 无 线 
局 域 网 协议 。 


16.1 IEEE 802. 11 无 线 局 域 网 概述 


IEEE 802 是 一 个 制订 了 局 域 网 一 系列 标准 的 委员 会 。1990 年 ,IEEE 802 委员 会 
立 了 一 个 新 的 工作 组 , IEEE 802. 11 致力 于 无 线 局 域 网 协议 和 传输 规范 的 制定 。 此 后 ， 
不 同 频 率 和 速率 的 无 线 局 域 网 被 不 断 研究 。 与 此 同时 ,IEEE 802. 11 工作 组 也 制定 了 一 
系列 的 标准 。 表 16. 1 简要 定义 了 IEEE 802. 11 标准 中 用 到 的 关键 术语 。 


表 16.1 IEEE 802.11 术语 


任何 具有 站 点 功能 并 且 通 过 无 线 介质 为 相关 联 的 站 点 提供 到 
分 配 系统 的 接口 的 任何 实体 


无 线 接 人 点 (AP) 


基本 服务 单元 (Basic Service Set， 


BSS) 由 单一 的 协调 职能 控制 的 一 系列 站 点 


决定 什么 时 候 一 个 与 基本 服务 单元 相互 操作 的 站 点 允许 传输 


协调 功能 (coordination function) 或 者 能 够 接收 数据 单元 的 逻辑 功能 
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续 表 


分 发 系统 (distribution system) 连接 基本 服务 单元 和 综合 局 域 网 以 产生 扩展 服务 单元 的 系统 


扩展 服务 单元 (Extended Service | 一 个 或 多 个 基本 服务 单元 和 综合 局 域 网 ,在 逻辑 链 路 控制 层 的 与 任 


Set, ESS) 一 基本 服务 单元 关联 的 站 点 看 成 同一 个 单独 的 基本 服务 单元 
MAC 协议 数据 单元 在 两 个 MAC 之 间 交 换 的 物理 层 数 据 单元 

MAC 服务 数据 单元 在 MAC 用 户 之 间 运 输 的 信息 单元 

站 点 (station) 任何 包含 IEEE 802. 11 MAC 和 物理 层 的 设备 


16.1.1 WiFi 联盟 


第 一 个 被 工业 界 普遍 接受 的 IEEE 802. 11 标准 是 IEEE 802. 11b。 尽 管 802. 11b 的 
产品 都 是 基于 同一 标准 ,但 是 不 同 供应 商 的 产品 之 间 能 和 否 顺利 连接 还 不 能 够 保证 。 为 了 
解决 这 一 问题 , 1999 年 成 立 了 名 为 无 线 以 太 网 兼容 性 联盟 (Wireless Ethernet 
Compatibility Aliance,WECA) 的 工业 团体 。 该 组 织 也 就 是 后 来 的 WiFi 联盟 ,制定 了 一 
套 测试 手段 以 对 802. 11b 的 产品 进行 互 操作 认证 。 用 WiFi 来 表示 认证 过 的 802. 11b 的 
产品 。 现 在 WiFi 认证 已 经 扩展 到 802. 11g,802. 11n 等 产品 , WiFi 联盟 涉及 无 线 局 域 网 
市 场 领 域 的 一 系列 问题 ,包括 企业 、 家 庭 等 无 线 网 络 的 部 署 问题 。 

802. 11 似乎 是 传统 以 太 网 的 数据 链 路 层 和 物理 层 的 重新 实现 ,它们 的 上 层 网 络 结构 
是 相同 的 。 比 较 特别 的 例子 是 在 Windows 系统 中 ,无 线 网 络 数 据 包 经 过 Windows 操作 
系统 的 处 理 变 成 以 太 网 的 数据 包 格式 。 但 是 由 于 网 络 特殊 的 移动 性 ,802. 11 在 MAC 中 
加 入 了 许多 额外 的 新 功能 ,MAC 帧 的 格式 比 802. 3 要 复杂 得 多 。 同 时 ,物理 层 需要 比较 
复杂 的 PHY 组 件 ,分 为 物理 层 汇聚 过 程 (PLCP) 和 物理 媒体 相关 (PMD)。 

目前 用 于 无 线 网 络 加 密 的 安全 协议 主要 有 两 种 : WEP 和 WPA。 

(1) WEP 是 Wired Equivalent Privacy 的 简称 ,有 线 等 效 保密 (WEP) 协 议 是 对 在 两 
台 设 备 间 无 线 传输 的 数据 进行 加 密 的 方式 ,用 于 防止 非法 用 户 窃听 或 侵入 无 线 网 络 。 
WEP 的 目标 就 是 通过 对 无 线 电波 里 的 数据 加 密 提 供 安全 性 ,如 同 端 - 端 发 送 一 样 。WEP 
使 用 了 RSA 数据 安全 性 公司 开发 的 RC4 算法 。WEP 有 两 种 认证 方式 : 开放 式 系统 认 
证 (open system authentication) 和 共有 键 认 证 (shared key authentication) 。 但 后 来 发 现 
WEP 在 使 用 RC4 时 有 明显 的 漏洞 ,现在 有 工具 可 以 很 快 破解 WEP 密码 。 

(2) WPA 全 名 为 WiFi Protected Access, 有 WPA 和 WPA2 两 个 标准 ,是 一 种 保护 
无 线 计 算 机 网 络 安全 的 系统 , 它 是 解决 前 一 代 的 有 线 等 效 加 密 (WEP) 中 几 个 严重 的 弱点 
而 产生 的 。WPA 是 一 种 基于 标准 的 可 互 操作 的 WLAN 安全 性 增强 解决 方案 ,可 大 大 增 
强 现 有 以 及 未 来 无 线 局 域 网 系统 的 数据 保护 和 访问 控制 水 平 。WPA 源 于 IEEE 802. 11i 
标准 并 将 与 之 保持 前 向 兼容 。 如 果 部 署 适当 ,WPA 可 保证 WLAN 用 户 的 数据 受到 保 
护 , 并 且 只 有 授权 的 网 络 用 户 才 可 以 访问 WLAN 网 络 。 最 新 版 本 的 WPA 是 WPA2, 整 
合 了 IEEE 802. 11i 无 线 局 域 网 安全 规范 的 各 种 特色 。 
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16.1.2 IEEE 802 协议 架构 


这 里 先 简单 介绍 IEEE 802 协议 架构 。IEEE 802. 11 标准 是 在 一 个 分 层 协议 的 结构 
上 定义 的 。 该 结构 应 用 于 所 有 的 IEEE 802 标准 ,如 图 16. 1 所 示 。 


通用 IEEE 802 功 能 专属 IEEE 802.11 功 能 


流量 控制 
逻辑 链 路 控制 差错 控制 
数据 组 装 成 站 可 齐 数 据 传输 
寻 址 无 线 访问 控制 协议 
媒介 访问 控制 差错 检测 
江 介 控制 
信号 编码 / 角 肥 和 
十 特 传输 / 接 频带 定义 
物理 pss 无 线 信号 编码 


图 16.1 IEEE 802. 11 协议 栈 


物理 层 。IEEE 802 模型 的 最 底层 就 是 物理 层 , 该 层 的 功能 包括 信号 的 加 密 和 解密 ， 
比特 流 的 传输 和 接收 。 此 外 ,物理 层 还 包括 传输 介质 的 规范 。 而 对 于 IEEE 802. 11 ,物理 
层 还 定义 了 频率 的 范围 和 天 线 特性 。 

媒介 访问 控制 (MAC)。 所 有 的 局 域 网 都 包含 共享 网 络 传输 容量 的 设施 。 需 要 一 些 
方法 来 控制 传输 介质 的 接口 ,以 便 使 这 些 容量 能 够 得 到 有 序 和 高 效 的 应 用 。 这 就 是 媒体 
访问 控制 层 的 功能 。MAC 层 从 更 高 层 (一 般 是 多 辑 链 路 控制 ) 得 到 以 数据 块 方式 存在 的 
数据 , 即 MAC 服务 数据 单元 (MAC Service Data Unit, MSDU)。 

总 地 来 说 ,MAC 层 主要 有 以 下 功能 。 

。 传输 时 ,将 数据 组 装 成 帧 , 即 MAC 协议 数据 单元 (MAC Protocol Data Unit， 

MPDU) ,地 址 和 错误 检测 域 。 

。 接收 时 ,将 帧 拆 开 ,并 进行 地 址 确认 和 错误 检测 。 

。 控制 到 局 域 网 传输 介质 的 接口 。 

MAC 协议 数据 单元 的 具体 格式 因 使 用 各 种 不 同 的 MAC 协议 而 稍 有 不 同 。 但 总 体 
来 说 , 所 有 的 MAC 协议 数据 单元 都 有 类 似 于 图 16. 2 的 格式 。 数 据 帧 的 不 同 域 如 下 : 


MAC 控 制 目的 MAC 地 址 源 MAC 地 址 MAC 服 务 数据 单元 CRC 
ww 
MAC 报 头 MAC 报 尾 


图 16.2 通用 的 IEEE 802 MPDU 格式 
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MAC 控制 :该 部 分 包含 了 执行 MAC 协议 功能 的 所 有 控制 信息 。 
目的 MAC 地 址 : 局 域 网 上 ,MAC 协议 数据 单元 的 目的 物理 地 址 。 
源 MAC 地 址 : 局 域 网 上 ,MAC 协议 数据 单元 的 源 物理 地 址 。 
MAC 服务 数据 单元 : 来 自 于 上 层 传递 来 的 数据 。 
循环 元 余 校 验 码 (Cyclic Redundancy Check,CRC) : 这 是 一 个 错误 检测 码 , 用 于 其 
他 的 数据 链 路 控制 协议 。CRC 基于 整个 MAC 协议 数据 单元 上 的 比特 流 来 进行 
计算 。 发 送 者 计算 CRC ,并 将 它 加 在 数据 帧 中 。 接 收 者 对 来 到 的 MPDU 作 相 同 
的 计算 ,并 与 到 来 的 MPDU 的 CRC 域 中 的 计算 结果 进行 比较 。 如 果 结 果 不 同 ， 
那么 传输 过 程 中 有 一 个 或 多 个 比特 发 生 了 改变 。 
MSDU 之 前 的 域 称 为 MAC 头 ,MSDU 之 后 的 域 称 为 MAC 尾 。 头 和 尾 中 包含 伴随 
数据 域 的 控制 信息 ,而 这 些 信息 由 MAC 协议 加 以 使 用 。 
逻辑 链 路 控制 (LLC)。 在 大 多 数 的 数据 链 路 控制 协议 中 ,数据 链 路 协议 不 仅 利 月 
CRC 来 进行 错误 检测 ,而 且 通 过 重 传 损 坏 的 数据 帧 和 利用 这 些 CRC 错误 信息 来 进行 恢 
复 。 在 局 域 网 协议 框架 中 ,这 两 个 功能 被 分 在 MAC 层 和 LLC 层 。MAC 层 负责 检测 错 
误 并 丢弃 包含 错误 的 帧 。LLC 层 可 选择 地 追踪 成 功 接收 的 帧 或 者 重 传 不 成 功 的 帧 。 


并 


16.1.3 IEEE 802. 11 网 络 组 成 与 架构 模型 


图 16.3 显示 了 IEEE 802. 11 工作 组 设计 的 模型 。 一 个 无 线 局 域 网 最 小 的 组 成 块 是 
基本 服务 的 单元 (BSS) ,包含 执行 相同 MAC 协议 和 竞争 同一 无 线 介 质 接 口 的 多 个 无 线 
站 点 。 一 个 BSS 可 能 是 独立 的 ,也 可 能 是 通过 无 线 接 入 点 (AP) 链 接 到 分 布 式 系统 (DS)。 
无 线 接 入 点 具有 桥梁 和 中 继 作 用 。 在 一 个 基本 服务 单元 中 ,同一 基本 服务 单元 中 的 用 户 
站 点 不 直接 进行 相互 通信 ,来 自 初始 站 点 的 数据 帧 先 发 送 到 无 线 接 入 点 ,然后 从 无 线 接 入 


分 布 式 系统 


图 16.3 IEEE 802.11 扩展 服务 单元 
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点 发 送 到 目的 站 点 。 而 从 一 个 基本 服务 单元 的 站 点 到 一 个 遥远 站 点 发 送 帧 , 先 由 该 站 点 
到 无 线 接 入 点 ,然后 通过 无 线 接 入 点 中 继 到 分 配 系统 ,最 终 到 达 目 的 站 点 。 用 户 使 用 手 
机 时 ,从 蜂窝 网 络 中 的 一 个 蜂窝 切换 到 另外 一 个 是 没有 感觉 的 ,可 以 正常 使 用 ,无 线 网 
络 也 希望 达到 这 种 效果 。 一 个 分 布 式 系统 可 以 看 做 运营 商 的 蜂窝 网 络 , 基 本 服务 单元 
BSS 可 以 看 成 蜂窝 网 络 中 一 个 蜂窝 ,而 分 配 系统 可 以 是 交换 机 、 有 线 网 络 ,也 可 以 是 无 
线 网 络 。 

当 一 个 基本 服务 单元 BSS 中 的 站 点 都 是 移动 站 点 ,并 且 相 互 之 间 能 够 通信 而 不 用 通 
过 无 线 接 入 点 , 则 该 基本 服务 单元 BSS 称 为 独立 基本 服务 单元 (IBSS)。 独 立 基 本 服务 单 
元 是 一 个 典型 的 点 对 点 模式 的 网 络 。 在 独立 基本 服务 单元 中 ,所 有 站 点 直接 通信 ,没有 无 
线 接 入 点 涉 入 其 中 。 

图 16. 3 显示 了 一 个 普通 的 组 态 , 其 中 每 个 站 点 只 属于 一 个 基本 服务 单元 ,也 就 是 
说 ,一 个 站 点 的 无 线 范围 内 只 有 同一 基本 服务 单元 的 其 他 站 点 。 两 个 基本 服务 单元 也 
可 能 重 倒 ,因此 一 个 站 点 能 够 属于 多 个 基本 服务 单元 。 更 进一步 来 说 ,一 个 站 点 和 一 
个 基本 服务 单元 之 间 的 联系 是 动态 的 。 站 点 可 以 关闭 、 进 入 或 离开 一 个 基本 服务 单元 

一 个 扩展 服务 单元 (ESS) 包 含 两 个 或 多 个 由 分 配 系统 相连 的 基本 服务 单元 。 而 对 好 
辑 链 路 控制 层 来 说 ,扩展 服务 单元 对 该 迎 辑 链 路 控制 层 相当 于 一 个 单一 的 逻辑 局 域 网 。 

在 一 个 分 布 式 系 统 中 传递 信息 ,分 发 服务 必须 知道 目的 站 点 的 地 址 是 否 被 寻 到 。 尤 
其 是 ,为 了 让 信息 能 够 到 达 目 的 站 点 ,分 布 式 系统 必须 知道 信息 需要 发 送 的 无 线 接 人 点 的 
身份 。 为 了 达到 这 一 要 求 ,站 点 需要 与 当前 基本 服务 单元 的 无 线 接 和 点 保持 连接 。 有 三 
种 服务 与 该 要 求 相 关 : 

。 连接 : 建立 站 点 和 无 线 接 人 点 的 初始 连接 。 在 一 个 站 点 能 够 通过 无 线 局 域 网 发 
送 或 接收 数据 帧 之 前 ,该 站 点 的 身份 和 地 址 需要 确认 。 为 了 达到 这 一 目的 ,站 点 
必须 与 一 个 特殊 的 基本 服务 单元 的 无 线 接 和 人 点 建立 连接 。 特 殊 单元 的 无 线 接 人 
点 则 将 信息 传输 到 扩展 服务 单元 的 其 他 无 线 接 入 点 ,以 便 能 够 确认 顺序 并 传送 加 
载 地 址 的 数据 帧 。 
重 连接 : 将 已 建立 的 连接 从 一 个 无 线 接 人 点 转移 到 另 一 个 无 线 接 人 点 ,并 允许 一 
个 移动 站 点 从 一 个 基本 服务 单元 移动 到 另外 一 个 基本 服务 单元 中 。 
取消 连接 : 从 站 点 或 无 线 接 人 点 发 出 的 终止 已 存在 连接 的 声明 。 站 点 在 离开 扩 
展 服务 单元 或 关闭 之 前 必须 发 出 声明 。 然 而 , MAC 管理 设备 阻止 未 发 表 声明 的 
站 点 的 消失 。 


16.2 IEEE 802. 11i 无 线 局 域 网 安全 


有 线 局 域 网 有 两 个 特点 未 继承 到 无 线 局 域 网 中 。 

(1) 要 通过 有 线 局 域 网 传递 信息 ,站 点 必须 与 局 域 网 实际 连接 起 来 。 而 在 无 线 局 域 
网 中 ,任意 在 局 域 网 其 他 设备 无 线 范围 的 站 点 均 能 传递 信息 。 在 有 线 局 域 网 中 有 一 种 认 
证 机 制 , 需 要 一 系列 的 操作 将 站 点 连接 到 一 个 有 线 局 域 网 。 


263| 


《网 络 安全 原理 与 实践》 


(2) 相似 地 ,为 了 从 一 个 有 线 局 域 网 的 站 点 接收 信息 ,接收 站 点 必须 连接 到 该 局 域 
网 。 而 在 无 线 局 域 网 中 ,任意 在 无 线 信 号 范围 的 站 点 均 能 接收 信息 。 因 此 ,有 线 局 域 网 能 
够 提供 一 定 程度 的 私密 性 ,只 有 有 条 件 通过 网 线 连 接 到 局 域 网 的 站 点 才能 够 接收 信息 ,一 
般 来 说 ,如 果 能 用 网 线 接 入 局 域 网 ,就 意味 着 得 到 了 管理 员 的 许可 ,网 络 安全 也 就 得 到 了 
一 定 程度 的 控制 。 

而 有 线 局 域 网 和 无 线 局 域 网 之 间 的 这 些 不 同 点 更 显示 出 增强 无 线 局 域 网 安全 服务 和 
机 制 的 紧迫 性 。 最 初 的 802. 11 规范 包含 一 些 机 密 性 和 认证 的 措施 ,但 效果 一 般 。 对 于 机 
密 性 ,802. 11 定义 了 有 线 等 效 保密 (Wired Equivalent Privacy, WEP) 协 议 。802. 11 标准 
的 机 密 性 部 分 包含 了 严重 的 弱点 。 随 着 WEP 的 发 展 ,802. 11i 已 经 发 展 了 一 系列 的 功能 
来 解决 无 线 局 域 网 的 安全 问题 。 为 了 增强 无 线 局 域 网 的 安全 性 ,WiFi 联盟 将 WiFi 网 络 
安全 存 取 (WiFi Protected Access, WPA) 发 布 为 WiFi 标准 。WPA 是 一 系列 安全 机 制 ， 
能 够 消除 大 部 分 的 802. 11 安全 问题 ,并 且 是 基于 现行 的 802. 11i 标准 。802. 11i 的 最 终 
形式 被 称 为 健壮 安全 网 络 (Robust Security Network, RSN)。WiFi 联盟 确保 依从 
802. 11i 规范 的 供应 商 能 够 符合 WPA2 标准 。 


16.2.1 IEEE 802. 11i 服务 


802. 11i 的 RSN 安全 规范 定义 了 以 下 几 种 服务 。 

。 认证 : 一 种 定义 了 用 户 和 认证 服务 器 之 间 交 换 的 协议 ,能 够 相互 认证 ,并 产生 和 暂 
时 密 钥 适 用 于 通过 无 线 连接 的 用 户 和 无 线 接 入 点 之 间 的 通信 。 

。 访问 控制 : 该 功能 迫使 认证 功能 的 使 用 ,合理 安排 信息 ,帮助 密 钥 交换 。 能 够 在 
一 系列 的 认证 协议 下 工作 。 

。 信号 完整 性 加 密 : MAC 层 数据 (例如 ,LLC 协议 数据 单元 ) 与 信号 完整 性 字段 一 
起 加 密 ,以 确保 数据 没有 被 筑 改 。 

IEEE 802. 11i 的 组 成 如 图 16.4 所 示 。 


16.2.2 IEEE 802. 11i 操作 阶段 


IEEE 802. 11i 健壮 安全 网 络 的 操作 可 以 分 成 5 个 不 同 阶段 。 阶 段 的 确切 性 质 依 赖 
于 通信 的 端点 和 结构 。 可 能 操作 包括 (参考 图 16. 3) : 

(1) 同一 基本 服务 单元 的 两 个 无 线 站 点 通过 该 单元 的 无 线 接 人 点 进行 通信 。 

(2) 同一 独立 基本 服务 单元 的 两 个 无 线 站 点 直接 进行 通信 。 

(3) 不 同 基本 服务 单元 的 两 个 无 线 站 点 通过 各 自 单元 的 无 线 接 入 点 进行 通信 ,无 线 
接 入 点 通过 分 布 式 系统 连接 。 

(4) 一 个 无 线 站 点 通过 无 线 接 入 点 和 分 布 式 系统 与 有 线 网 络 的 站 点 进行 通信 。 

IEEE 802. 11i 只 关心 站 点 及 其 无 线 接 人 点 之 间 的 通信 安全 。 在 上 述 情况 (1) 中 ,如 
果 每 个 站 点 和 无 线 接 入 点 之 间 建 立 安全 通信 就 能 确保 通信 的 安全 性 。 情 况 (2) 类 似 ,只 是 
无 线 接 入 点 相当 于 在 站 点 中 。 对 于 情况 (3) ,在 IEEE 802. 11 的 层次 中 ,并 不 能 保证 通过 
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无 线 网 络 安全 


健壮 安全 网 络 (RSN) 
机 密 性 、 数据 
访问 控制 认证 和 密 钥 生成 源 认证 、 集 成 
和 重 放 保护 
IEEE 802.1 基 于 TEN 、 
端口 的 访问 控制 和 TKIP | ccMP 
(a) 服务 与 协议 


健壮 安全 网 络 (RSN) 


(b) 加 密 算法 
图 16.4 IEEE 802. 11i 的 组 成 


分 布 式 系统 的 安全 ,而 只 能 保证 各 自 基本 服务 单元 中 的 安全 。 端 到 端的 安全 (如 果 需 要 的 
话 ) 需 要 由 更 高 层次 来 提供 。 同 样 ,在 情形 (4) 中 ,安全 只 能 在 站 点 及 其 无 线 接 人 点 之 间 
提供 。 

基于 这 些 考 虑 ,图 16. 5 描述 了 一 个 健壮 安全 网 络 的 5 个 操作 阶段 ,并 在 图 上 标 上 了 
涉及 的 网 络 设备 。 其 中 有 一 种 新 设备 认证 服务 器 (AS)。 和 矩形 框 表明 MAC 协议 数据 单 
元 的 交换 。5 个 操作 阶段 定义 如 下 : 

。 发 现 : 无 线 接 入 点 (AP) 使 用 信 标 (beacon) 和 探测 响应 信息 来 发 布 其 IEEE 802. 11i 
安全 策略 。 站 点 (STA) 则 通过 这 些 来 确认 希望 进行 通信 的 无 线 接 入 点 的 身份 。 
站 点 连接 无 线 接 人 点 , 当 信 标 和 探测 响应 提供 选择 时 ,选择 加 密 套 件 和 认证 
机 制 。 
认证 : 在 本 阶段 ,站 点 和 认证 服务 器 相互 证 明 各 自 的 身份 。 无 线 接 人 点 阻止 站 点 
和 认证 服务 器 之 间 直 到 认证 成 功 之 前 尚未 被 认证 的 传输 。 无 线 接 人 点 不 参与 认 
证 ,参与 认证 的 是 转发 站 点 和 认证 服务 器 之 间 的 数据 传输 。 

密 钥 的 产生 及 配送 : 无 线 接 人 点 和 站 点 执行 几 种 操作 之 后 产生 加 密 密 钥 ,并 配送 
到 无 线 接 人 点 和 站 点 。 数 据 帧 只 在 无 线 接 人 点 和 站 点 之 间 进 行 交 换 。 

保密 数据 传输 : 数据 帧 在 站 点 和 终端 站 点 之 间 通 过 无 线 接 人 点 进行 交换 。 如 图 
中 阴影 部 分 和 加 密 模型 图 标 所 示 , 安 全 数据 传输 只 发 生 在 站 点 和 无 线 接 入 点 之 
间 ,而 不 能 确保 端 到 端的 安全 。 

连接 终止 : 无 线 接 人 点 和 站 点 交换 数据 帧 。 在 本 阶段 ,安全 连接 被 解除 ,连接 恢 
复 到 初始 状态 。 


265| 


《网 络 安全 原理 与 实践》 


STA AP AS End Station 


第 一 阶段 一 发现 


第 二 阶段 一 认证 


第 四 阶段 一 一 受 保护 的 数据 传输 


二 


第 五 阶段 一 终止 连 接 | 


图 16.5 IEEE 802.11i 的 执行 过 程 


16.2.3 发 现 阶段 


现在 从 发 现 阶段 开始 讨论 健壮 安全 网 络 操作 阶段 的 一 些 细节 ,如 图 16. 6 的 上 部 所 
示 。 该 阶段 的 功能 是 站 点 和 无 线 接 入 点 相互 确认 身份 ,协商 一 系列 安全 策略 ,并 建立 连接 
以 便 将 来 进行 通信 。 


1. 安全 策略 


在 发 现 阶 段 中 ,站 点 和 无 线 接 人 点 确认 下 列 区 域 的 具体 技术 : 
。 保护 单 播 通信 的 机 密 性 和 MAC 协议 数据 单元 完整 性 的 协议 (只 在 该 站 点 和 无 线 
接 人 点 通信 ) 。 

。 认证 方法 。 

。 管理 密 钥 方法 。 

保护 组 播 / 广 播 通 信 的 机 密 性 和 MAC 协议 数据 单元 完整 性 的 协议 由 无 线 接 人 点 支 
配 ,而 组 播 中 的 站 点 必须 使 用 相同 的 协议 和 明文 。 协 议 的 规范 加 上 密 钥 长 度 的 选取 (如 果 
可 以 ) 就 构成 了 加 密 套件 。 可 供 选 择 的 机 密 性 和 完整 性 加 密 套件 有 : 

。 WEP(40 位 或 104 位 密 钥 .兼容 旧版 本 的 IEEE 802. 11 操作 )。 

。 TKIP, 

。 CCMP。 
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AS 


无 线 网 络 安全 


站 点 发 出 加 入 检测 请 求 
网 络 的 请 求 检测 响应 AP 发 送 可 能 用 
开启 系统 认证 请 求 3 
站 点 请 求 执行 空 认证 一 一 一 一 | 
fF 启 系 统 认 证 响应 
开启 系统 认证 响应 AP 执 行 空 认证 
站 rt 连接 请 求 
连接 响应 AP 发 送 用 于 连接 
站 点 设置 相关 的 安全 参数 
的 安全 参数 
802.1x 受 控 的 端口 阻塞 
802.1x EAP 请 求 
802.1x EAP 响 应 
“| 访问 请 求 (EAP 请 求 ) 
EAP 交 换 
接受 /EAP- 成 功 和 
相关 的 密 钥 信息 
802.1x EAP 成 功 
802.1x 受 控 的 端口 阻塞 


图 16.6 IEEE 802. 11i 的 执行 过 程 : 通道 发 现 、 认 证 与 连接 


。 供 应 商 特性 方法 。 


2. MPDU 交换 


发 现 阶 段 包含 三 个 交换 : 
。 网 络 和 安全 通道 的 发 现 : 在 该 交换 中 ,站 点 发 现 要 进行 通信 的 网 络 的 存在 。 
。 开放 系统 认证 : 该 帧 序列 并 不 保证 安全 ,其 目的 只 是 为 了 与 IEEE 802. 11 保持 一 


定 的 兼容 性 。 


。 连接: 该 阶段 的 目的 是 协商 要 用 到 的 一 


系列 安全 措施 。 站 点 发 送 连接 请 求 帧 到 


无 线 接 入 点 。 在 该 帧 中 ,站 点 从 无 线 接 入 点 发 布 的 安全 策略 中 选中 一 套 相 匹配 的 


策略 (认证 和 密 钥 管 理 套件 、 成 对 加 密 套 件 和 群 组 密 钥 加 密 套 件 ) 。 


线 接 入 点 之 间 没 有 相 匹 配 的 策略 ,无线 接 入 点 拒绝 连接 请 求 。 


16.2.4 认证 阶段 


如 果 站 点 和 无 


前 面 已 经 提 及 ,认证 阶段 是 实现 站 点 和 位 于 分 布 式 系统 中 的 认证 服务 器 之 间 的 相互 
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认证 。 在 认证 的 设计 中 ,只 允许 认证 过 的 站 点 使 用 网 络 , 并 确保 与 站 点 通信 的 网 络 是 合 
法 的 。 


1. IEEE 802. 1x 访问 控制 


IEEE 802. 11i 使 用 了 男 一 标准 为 局 域 网 提供 访问 控制 功能 。 该 标准 就 是 IEEE 802. 1x， 
是 基于 接口 的 网 络 访问 控制 。 在 认证 中 使 用 的 扩展 认证 协议 就 是 在 IEEE 802. 1x 标准 
中 进行 定义 的 。IEEE 802. 1x 中 使 用 到 的 术语 有 接 入 者 、 认 证 者 和 认证 服务 器 。 在 
802. 11 无 线 局 域 网 的 内 容 中 , 排 在 前 两 个 的 是 无 线 站 点 和 无 线 接 入 点 。 在 有 线 网 络 中 
认证 服务 器 是 一 个 分 离 设 备 ( 如 通过 分 布 式 系统 接 入 ), 但 也 可 以 直接 存在 于 认证 
者 中 。 

在 一 个 接 入 者 被 认证 服务 器 通过 某 种 认证 协议 认证 之 前 ,认证 者 只 允许 接 入 者 和 认 
证 服务 器 之 间 传 递 控制 和 认证 信息 ;802. 1x 控制 通道 开通 ,但 802. 11 数据 通道 被 阻 。 一 
旦 接 入 者 被 认证 并 分 配 密 钥 , 认 证 者 可 以 从 接 入 者 得 到 数据 ,但 要 遵从 先前 制定 的 接 入 者 
到 网 络 的 访问 控制 限制 。 在 这 些 情形 下 ,数据 通道 开通 。 


2. MPDU 交换 


图 16.6 下 半 部 分 显示 了 IEEE 802. 11 认证 阶段 的 MAC 协议 数据 单元 交换 。 可 以 
将 认证 阶段 分 成 三 个 小 的 阶段 : 

。 连接 到 认证 服务 器 : 站 点 发 送 要 连接 认证 服务 器 的 请 求 到 其 无 线 接 入 点 (与 其 相 
连接 的 那个 ) 。 无 线 接 和 人 点 接 到 该 请 求 , 并 向 认证 服务 器 发 送 接 和 人 请 求 。 
EAP 交换 , EAP 全 称 是 Extensible Authentication Protocol, 指 扩展 认证 协议 。 
该 交换 使 站 点 和 认证 服务 器 相互 认证 。 在 此 过 程 中 ,一 系列 的 相互 交换 可 能 
发 生 。 
安全 密 钥 传送 : 一 旦 认证 建立 ,认证 服务 器 会 产生 一 个 主 会 话 密 钥 (MSK), 也 就 
是 认证 ,授权 和 记 账 (AAA) 密 钥 , 并 将 之 发 送 给 站 点 。 站 点 和 无 线 接 入 点 安全 通 
信 所 需要 的 所 有 密 钥 均 可 由 主 会 话 密 钥 产生 。IEEE 802. 11i 并 没有 主 会 话 密 钥 
安全 传送 的 方法 ,而 EAP 解决 了 该 问题 。 不 管用 什么 方法 ,都 包含 了 从 站 点 通过 
无 线 接 入 点 ,到 认证 服务 器 的 MPDU 的 传送 ,并 且 MPDU 中 含有 加 密 的 主 会 话 
密 钥 。 


3. EAP 交换 


前 面 已 经 提 及 ,在 认证 阶段 有 许多 可 能 的 EAP 交换 可 用 。 在 站 点 和 无 线 接 入 点 之 间 
的 信息 流 采用 了 基于 局 域 网 的 扩展 认证 (EAPOL) 协 议 , 无 线 接 入 点 和 认证 服务 器 之 间 的 
信息 流 则 采用 远程 用 户 拨 号 认证 系统 (RADIUS) 协 议 , 尽 管 站 点 和 无 线 接 人 点 之 间 以 及 
无 线 接 入 点 和 认证 服务 器 之 间 的 交换 还 有 其 他 选择 。 

(1) EAP 交换 先 由 无 线 接 人 点 发 送 EAP 请 求 /身份 帧 到 站 点 。 

(2) 无 线 接 人 点 通过 不 受 控制 的 接口 来 接受 站 点 回复 的 EAP 请 求 / 身 份 帧 。 该 数据 
包 通 过 EAP 封装 到 RADIUS 中 ,并 作为 RADIUS 接 和 请求 包 再 发 送 到 RADIUS 认证 服 
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务 器 中 。 

(3) AAA 服务 器 回复 RADIUS 接 入 请 求 包 ,并 作为 EAP 请 求 发 送 到 站 点 。 该 请 求 
包含 认证 类 型 和 相关 的 请 求 信息 

(4) 站 点 生成 EAP 回复 信息 ,并 将 之 发 送 到 认证 服务 器 。 无 线 接 入 点 将 回复 转换 成 
RADIUS 接 入 请 求 , 并 且 将 请 求 的 回复 作为 数据 域 。 根 据 所 使 用 的 EAP 方法 ,步骤 (3) 
和 步骤 (4) 可 能 重复 多 次 。 

(5) AAA 服务 器 为 RADIUS 接 入 请 求 包 提供 接 入 。 无 线 接 入 点 则 发 布 一 个 EAP 
成 功 的 帧 。 可 控 接口 被 授权 ,并 且 用 户 可 以 接 人 网 络 。 

从 图 16.6 可 知 ,无 线 接 人 点 的 可 控 接 口 仍然 阻止 一 般 用 户 传递 信息 。 尽 
成 功 ,接口 会 保持 阻止 直到 临时 密 钥 在 站 点 和 无 线 接 和 人 点 中 得 到 使 用 ,这 将 会 
过 程 中 发 生 。 


管 认 证 已 经 
在 四 次 握手 


16.2.5 密 钥 管理 阶段 


在 密 钥 管理 阶段 ,会 产生 一 系列 的 密 钥 并 分 配 到 站 点 中 。 密 钥 分 为 两 种 类 型 : 用 于 
站 点 与 无 线 接 和 人 点 之 间 通 信 的 成 对 密 钥 (pairwise key) 和 用 于 组 播 通信 的 群 组 密 钥 
(group key)。 表 16.2 定义 了 各 自 的 密 钥 。 

表 16.2 IEEE 802. 11i 中 数据 机 密 性 和 完整 性 协议 中 的 密 钥 


缩写 名 称 描述 /目的 大 小 /b 类 型 
6 、 | 用 于 生成 PMK ,与 IEEE 802. 1x 
AAA 密 铀 | 续 介 入 全、 | 认证 和 客人 管理 方法 一 起 使 用 ，| 大 于 等 于 256 | 第 久生 帮 钢 / 
与 MMSK 相同 
在 预 共 享 密 钥 的 情况 下 成 密 钥 生成 密 钥 / 
ES 预 共 享 密 钥 | 为 PMK Ey 根 密 铀 
PMK 成 对 主 密 钥 与 其 他 输出 一 起 ,用 于 生成 PTK | 256 密 钥 生成 密 钥 
GMK 群 组 主 密 钥 与 其 他 输入 一 起 ,用 于 生成 GTK | 128 密 钥 生 成 密 钥 
由 PMK 生成 ,包含 EAPOL- | 512(TKIP) 
PEK 成 对 临时 密 钥 KCK 和 MIC 密 钥 (对 于 TKIP) | 384(CCMP) 复合 密 角 
与 TKIP 或 CCMP 一 起 ,用 于 对 256CTKIP) 
TK 临时 密 铀 单 播 用 户 传输 提供 机 密 性 和 消 | 128CCCMP) | 交换 密 铀 
息 完整 性 保护 
由 GMK 生成 ,用 于 对 组 播 /广播 | 256(TKIP) 
GTK 群 组 临时 密 钥 ”| 用 户 传输 提供 机 密 性 和 消息 完 | 128(CCMP) | 交换 密 钥 
整 性 保护 40,104 
消息 完整 码 | 由 TKIP 的 Michael MIC 来 提供 i 
MIC 密 钥 密 角 消息 完整 性 保护 64 消息 完整 性 密 钥 
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续 表 
缩写 名 称 描述 /目的 大 小 /b 类 型 
GMK 群 组 主 密 钥 与 其 他 输入 一 起 ,用 于 生成 GTK | 128 密 钥 生 成 密 钥 
用 于 对 4 次 握手 中 GTK 和 其 他 交换 密 钥 / 密 钥 
Pm 成 对 临时 密 铀 | 密 钥 材 料 提供 机 密 性 保护 加 密 密 铀 
TE 临时 密 钥 与 WEP 一 起 使 用 40,104 交换 密 钥 
1. 成 对 密 钥 


成 对 密 钥 用 于 一 对 设备 之 间 的 通信 ,特别 是 站 点 和 无 线 接 入 点 之 间 。 这 些 密 钥 形 成 
了 一 个 分 层 , 分 层 从 主 密 钥 开始 ,而 其 他 的 密 钥 都 是 从 主 密 钥 中 动态 得 到 并 且 有 一 定 的 
时 限 。 

在 分 层 的 最 上 端 有 两 种 可 能 。 预 共享 密 钥 (PSK) 是 无 线 接 入 点 和 站 点 之 间 事 先 共享 
的 密 钥 ,并 在 IEEE 802. 11i 范围 外 的 一 些 方式 下 使 用 。 另 外 一 种 是 主 会 话 密 钥 (MSK)， 
也 就 是 AAA 密 钥 , 前 面 已 经 描述 过 ,该 密 钥 在 认证 阶段 由 IEEE 802. 1x 协议 产生 。 而 产 
生 密 钥 的 实际 方式 取决 于 使 用 认证 协议 的 细节 。 在 任 一 情况 下 ( 预 共享 密 钥 或 者 主 会 话 
密 钥 ), 无 线 接 人 点 和 站 点 之 间 都 共享 唯一 密 钥 ,并 用 此 密 钥 进行 通信 。 所 有 由 主 密 钥 生 
成 的 其 他 密 钥 在 无 线 接 入 点 和 站 点 之 间 也 是 唯一 的 。 因 此 ,如 图 16.7(a) 中 的 分 层 结构 ， 
每 个 站 点 在 任何 时 候 都 有 一 套 密 钥 , 而 无 线 接 入 点 对 应 于 每 个 站 点 都 有 相应 的 一 套 密 钥 。 


2. 成 对 主 密 钥 (PMK) 


成 对 主 密 钥 (PMK) 也 是 从 主 密 钥 中 得 来 。 如 果 用 的 是 预 共享 密 钥 , 则 预 共 享 密 钥 用 
来 作为 成 对 主 密 钥 ;如 果 用 的 是 主 会 话 密 钥 , 则 成 对 主 密 钥 是 主 会 话 密 钥 截断 (如 果 需 要 ) 
所 得 。 在 802. 1x EAP 成 功 信息 ( 见 图 16.6) 出 现 后 ,认证 阶段 完成 ,无 线 接 入 点 和 站 点 均 
会 有 其 共享 的 成 对 主 密 钥 的 一 份 副 本 。 

成 对 主 密 钥 用 来 生成 成 对 临时 密 钥 (PTK), 成 对 临时 密 钥 包括 三 组 ,用 于 站 点 和 无 
线 接 入 点 相互 认证 之 后 的 通信 。 成 对 临时 密 钥 可 以 通过 将 HMAC-SHA-1 函数 作用 到 成 
对 主 密 钥 ,站 点 和 无 线 接 入 点 的 MAC 地 址 以 及 随机 数 ( 如 果 需 要 ) 得 来 。 在 成 对 临时 密 
钥 的 产生 中 ,站 点 和 无 线 接 入 点 MAC 地 址 的 使 用 可 以 防止 会 话 劫持 和 伪装 ;使 用 随机 数 
则 增加 密 钥 产生 的 随机 性 。 成 对 临时 密 钥 的 三 部 分 如 下 。 

。 基于 局 域 网 的 扩展 认证 协议 (EAPOL: EAP Over LAN) 确 认 密 钥 : 在 健壮 安全 

网 络 操作 建立 时 ,支持 站 点 到 无 线 接 入 点 控制 帧 的 完整 性 和 数据 源 的 可 信赖 性 。 
能 够 执行 接 入 控制 功能 : 拥有 证 明成 对 主 密 钥 PMK。 一 个 拥有 成 对 主 密 钥 的 实 
体 被 授权 使 用 连接 。 

。 基于 局 域 网 的 扩展 认证 协议 密 钥 加 密 密 钥 : 在 健壮 安全 网 络 连接 进程 中 ,保护 密 

钥 和 其 他 数据 的 机 密 性 。 
。 临时 密 钥 : 为 用 户 通信 提供 实际 保护 。 
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pa 元 约束 路 径 


预 分 享 密 钥 


AAAK or MSK ”EAP 方 法 路 径 [94 


AAA 密 钥 


本 大 于 等 于 - 
256 比 特 256 比 特 -一 EAP 认 证 
PMK 十 
2 
始终 不 变 的 成 钥 A 
= 可 能 会 截取 的 256 比 特 | 跟随 EAP 认 证 或 PSK 
使 用 MAC- | PIK L 
-一 -一 SHA-! 的 伪 1 
随机 配 数 成 为 临时 密 钥 (4 
384 比 特 (CCMP) 
512 比 特 (TKIP) 在 4 次 握手 中 
KCK KEK TK 
EAPOL 密 钥 确认 密 钥 EAPOL 密 钥 加 密 密 钥 临时 密 钥 
128 比 特 128 比 特 128 比 特 (CCMP) 
[4 多 156 比 特 TKIP) 从 


这 些 密 钥 是 PTK 的 组 成 部 分 


(9) 成 对 密 钥 的 层次 


GMK( 由 AS 生成 ) 


256 比 特 


40 比 特 ,104 比 特 (WEP) 
128 比 特 (CCMP) 


群 组 主 密 铀 


群 组 临时 密 钥 


256 比 特 (TKIP) 


(b) 群 组 密 钥 的 层次 


ba 


周期 性 更 改 或 者 
密 钥 削弱 时 发 生 更 改 


CF 


随 策略 发 生变 化 


16.7 IEEE 802. 11i 的 密 钥 层次 


3， 群 组 密 钥 


群 组 密 钥 用 在 一 个 站 点 向 多 个 站 点 发 送 MAC 协议 数据 单元 时 的 组 播 通信 。 在 群 组 
密 钥 分 层 的 最 上 面 是 群 组 主 密 钥 (GMK) ,如 图 16.7(b) 所 示 。 群 组 主 密 钥 加 上 其 他 输入 
能 够 产生 群 组 临时 密 钥 (GTK)。 成 对 临时 密 钥 产生 用 到 了 无 线 接 入 点 和 站 点 两 方面 的 
内 容 , 与 此 不 同 , 群 组 临时 密 钥 的 产生 只 用 到 无 线 接 入 点 ,产生 之 后 再 发 送 到 与 无 线 接 入 
点 相连 接 的 站 点 。 具 体 群 组 临时 密 钥 是 怎样 产生 的 并 未 也 以 定义 。IEEE 802. 11i 要 求 
群 组 临时 密 钥 的 值 是 计算 上 随机 的 。 群 组 临时 密 钥 利用 已 经 建立 的 成 对 密 钥 进行 发 布 。 
每 次 一 个 设备 离开 网 络 时 , 群 组 临时 密 钥 发 生 改 变 。 
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4. 成 对 密 钥 发 布 


图 16. 8 的 上 部 显示 了 为 成 对 密 钥 发 布 而 进行 的 MAC 协议 数据 单元 的 交换 。 该 交 
换 被 称 为 四 次 握手 。 站 点 和 无 线 接 人 点 利用 这 次 握手 来 确认 成 对 主 密 钥 的 存在 ,选择 好 
加 密 套件 并 为 接 下 来 的 数据 通信 加 密 。 


STA AP 


| AP 的 802.1x 受 控 节 点 阻塞 | 


消息 1 
区 EAPOL- 密 钥 (Anonce, 单 播 ) 消息 1 发 送 一 个 nonce 给 
STA， 使 其 可 以 生成 PTK 


EAPOL ts 
消息 2 发 送 另 一 个 nonce 给 AP， EAPOL- 密 铀 (Snonce, 
使 其 可 以 生成 PTK 。 该 消息 向 单 播 MIC) 
ts 下 
确保 PIK 是 即时 生成 的 且 交 :APOL- 密 钥 (tn 
有 中 同人 攻击 和 PTK TA 证 实 了 认证 : 
= 的 ， 以 确保 PTK 
消息 4 成 的 且 没 有 中 间 人 
EAPOL- 密 钥 ( 单 插 ，MIC) 
消息 4 是 对 于 消息 - 
3 的 确认 ， 也 为 了 
人 AP 的 802.1x 受 控 节 点 畅通 ， 以 进行 单 播 传送 | 
AE | 
光 生 让 人名 万 ed ee 
EAPOL- 密 钥 (GTK,MIC) i J 人 站 | 
A , 6 消息 
ST 人 下 天 宇和 保 避 的 
消息 2 
EAPOL- 密 钥 (MIC) 
消息 2 被 传送 给 AP， 二 | Ap 安装 GTK 


作为 对 AP 的 确认 


图 16.8 IEEE 802. 11i 的 执行 过 程 : 4 次 握手 和 和 群 组 密 钥 握 手 


。 无 线 接 人 点 一 站 点 : 信息 包括 无 线 接 入 点 的 MAC 地 址 和 一 个 随机 数 
Anonce。 

。 站 点 一 无 线 接 人 点 : 站 点 产生 自己 的 随机 数 Snonce, 并 利用 两 个 随机 数 和 两 个 
MAC 地 址 ,加 上 成 对 主 密 钥 来 产生 成 对 临时 密 钥 。 站 点 发 送 包 含 自己 的 MAC 
地 址 和 站 点 随机 数 的 信息 到 无 线 接 入 点 ,并 使 无 线 接 入 点 产生 相同 的 成 对 临时 密 
钥 。 该 信息 包含 利用 HMAC-MD5 或 者 HMAC-SHA-1-128 加 密 的 信息 完整 性 
字段 (MIC)。 用 于 信息 完整 性 字段 加 密 的 密 钥 为 KCK。 

。 无 线 接 人 点 一 站 点 : 现在 无 线 接 入 点 能 够 产生 成 对 临时 密 钥 。 无 线 接 入 点 发 送 
信息 到 站 点 ,信息 包含 第 一 次 信息 的 相同 内 容 , 并 包含 信息 完整 性 字段 。 

。 站 点 一 无 线 接 人 点 : 只 是 一 个 确认 信息 , 仍 由 信息 完整 性 字段 保护 。 
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5. 群 组 密 钥 发 布 


对 于 群 组 密 钥 发 布 , 无 线 接 人 点 产生 群 组 临时 密 钥 ,并 发 布 到 组 播 群 组 的 每 个 站 点 
中 。 与 每 个 站 点 的 两 条 信息 交换 如 下 : 
。 无 线 接 人 点 一 站 点 : 该 信息 包含 由 RC4 或 AES 加 密 的 群 组 临时 密 钥 。 用 于 加 密 
的 密 钥 为 KEK 。 中 还 附加 有 信息 完整 性 字段 值 。 
。 站 点 一 无 线 接 人 点 : 站 点 确认 接收 到 群 组 临时 密 钥 。 该 信息 包含 信息 完整 性 字 
段 值 。 


16.2.6 保密 数据 传输 阶段 


IEEE 802. 11i 定义 了 两 种 机 制 来 保护 数据 的 传输 : 临时 密 钥 完整 性 协议 (Temporal 
Key Integrity Protocol,，TKIP) 和 计数 器 模式 密码 块 链 消息 认证 码 协议 (Counter Mode- 
CBC MAC Protocol,CCMP) 。 


1. 临时 密 钥 完整 性 协议 (TKIP) 


TKIP 设计 成 只 需要 对 支持 旧版 本 无 线 局 域 网 安全 标准 的 设备 进行 软件 升级 即 可 。 
TKIP 提供 两 种 服务 : 

(1) 信息 完整 性 : TKIP 在 802. 11 MAC 帧 的 数据 域 之 后 增加 了 信息 完整 性 字段 。 
信息 完整 性 字段 由 Michael 算法 产生 ,使 用 源 和 目的 的 MAC 地址、 数据 域 和 密 钥 作为 输 
入 产生 一 个 64b 的 值 。 

(2) 数据 机 密 性 : 数据 机 密 性 通过 如 RC4 加 密 协 议 数据 单元 和 信息 完整 性 字段 来 
获得 。 

256 比特 临时 密 钥 的 使 用 如 下 : 两 个 64 比特 的 密 钥 通 过 Michael 信息 摘要 算法 产生 
信息 完整 性 字段 。 一 个 密 钥 用 来 保护 站 点 到 无 线 接 人 点 的 信息 , 另 一 个 密 钥 用 来 保护 无 
线 接 入 点 到 站 点 的 信息 。 剩 余 的 128 比特 被 截断 用 来 产生 RC4 的 密 钥 ,以便 对 传输 数据 
进行 加 密 。 

对 于 增加 的 保护 ,一 个 单调 增加 的 TKIP 顺序 计数 器 (TSC) 分 配 到 每 个 帧 。 该 计数 
器 有 两 种 目的 : 一 是 计数 器 包含 在 每 个 MAC 协议 数据 单元 中 并 由 信息 完整 性 字段 保护 
以 防止 重 放 攻击 。 二 是 计数 器 与 临时 会 话 密 钥 结合 产生 一 个 动态 加 密 密 钥 ,该 动态 密 钥 
随 每 个 协议 数据 单元 而 改变 ,使 得 密码 分 析 更 加 困难 。 


2. 计数 器 模式 密码 块 链 消息 认证 码 协议 (CCMP) 


CCMP 由 新 版 本 的 硬件 设备 支持 。 同 TKIP 一 样 ,CCMP 也 提供 了 两 种 服务 : 

。 信息 完整 性 : CCMP 使 用 计数 器 模式 密码 块 链接 消息 认证 码 (CBC-MAC) 来 确保 
信息 完整 性 。 

。 数据 机 密 性 : CCMP 使 用 AES 的 CTR 密码 块 模式 进行 加 密 。 

128 位 的 AES 密 钥 用 来 保证 CCMP 的 完整 性 和 机 密 性 ,该 机 制 使 用 48 比特 的 随机 
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数 来 阻止 重 放 攻 击 。 


16.3 ”无线 局 域 网 中 的 安全 问题 
16.3.1 无 线 网 络 密码 破解 


随 着 无 线 上 网 的 普及 , 越 来 越 多 的 人 开始 选择 无 线 网 络 来 工作 和 娱乐 ,便携式 的 无 线 
路 由 器 进入 千家 万 户 。 近 年 来 一 种 打 着 可 以 免费 上 网 旗号 的 “ 蹦 网 卡 ” 应 运 而 生 , 通 过 这 
张 带 有 自动 搜索 邻 家 无 线 网 络 并 破解 密码 的 网 卡 , 就 能 强行 与 他 人 共享 无 线 网 络 。“ 足 网 
卡 ” 实 质 上 是 一 种 配备 大 功率 天 线 的 无 线 网 卡 ,普通 的 无 线 网 卡 只 能 搜索 十 几米 ,而 * 蹦 网 
卡 ” 功 率 较 强 ,可 检测 数 百 米 甚至 上 千 米 范围 内 的 无 线 网 络 信 号 ,再 配合 使 用 无 线 密码 破 
解 工具 ,可 以 较 快 地 破解 一 些 无 线 密码 。 本 小 节 针 对 两 种 常用 的 无 线 加 密 方式 WEP 和 
WPA 介绍 破解 的 基本 原理 和 方法 。 


1. WEP 相关 基础 知识 


有 线 等 效 保密 (Wired Equivalent Privacy,，WEP) 协 议 是 对 在 两 台 设 备 间 无 线 传 输 的 
数据 进行 加 密 的 方式 ,用 于 防止 非法 用 户 窃听 或 侵入 无 线 网 络 。WEP 被 用 来 提供 和 有 线 
LAN 同 级 的 安全 性 。LAN 天 生 比 WLAN 安全 ,因为 LAN 的 物理 结构 对 其 有 所 保护 ， 
部 分 或 全 部 网 络 埋 在 建筑 物 中 也 可 以 防止 未 授权 的 访问 。WEP 的 目标 就 是 通过 对 无 线 
电波 中 的 数据 加 密 提供 安全 性 ,如 同 端 一 端 发 送 一 样 。 

WEP 是 1999 年 9 月 通过 的 IEEE 802. 11 标准 的 一 部 分 ,使 用 RC4 流 加 密 技术 达到 
机 密 性 ,并 使 用 CRC-32 校 验 。 标 准 的 64 比特 WEP 使 用 40 比特 的 密 钥 接 上 24 比特 的 
初始 向 量 (Initialization Vector,IV) 成 为 RC4 用 的 密 钥 。 在 起 草原 始 的 WEP 标准 的 时 
候 , 美 国政 府 在 加 密 技 术 的 输出 限制 中 限制 了 密 钥 的 长 度 , 一 旦 这 个 限制 放宽 ,所 有 的 主 
要 从 业者 都 会 用 104 比特 的 密 钥 。 用 户 输入 128 比特 的 WEP 密 钥 的 方法 一 般 都 是 用 含 
有 26 个 十 六 进 制 数 (0~9 和 A 一 F) 的 字 串 来 表示 ,每 个 字符 代表 密 钥 中 的 4 个 比特 ， 
4X26 一 104 比特 ,再 加 上 24 比特 的 IV 就 成 了 所 谓 的 “128 比特 WEP 密 钥 ”。 有 些 厂商 
还 提供 256 比特 的 WEP 系统 ,就 像 上 面 讲 的 ,24 比特 是 IV, 实 际 上 剩 下 232 比特 作为 保 
护 之 用 ,典型 的 做 法 是 用 58 个 十 六 进 制 数 来 输入 ,(58X4 一 232 比特 ) 十 24 个 IV 比特 二 
256 个 WEP 比特 。 

WEP 有 两 种 认证 方式 : 开放 式 系统 认证 (open system authentication) 和 共有 键 认证 
(shared key authentication) 。 开 放 式 系统 认证 : 顾名思义 ,就 是 开放 型 的 认证 方式 ,不 需 
要 认证 信息 可 以 直接 关联 接 人 点 ,WEP 密码 用 来 加 密 后 面 的 数据 包 ; 共 有 键 认 证 : 客户 
端 需要 使 用 一 个 四 个 步骤 的 认证 握手 ,其 中 接 人 点 发 送 一 个 明文 的 挑战 信息 给 客户 端 , 然 
后 客户 端 用 WEP 密码 来 加 密 这 个 明文 挑战 信息 返回 给 接 人 点 ,以 此 认证 。 表 面 上 看 起 
来 第 二 种 认证 方式 比 第 一 种 安全 ,但 事实 却 相反 ,第 二 种 认证 方式 比 第 一 种 更 不 安全 , 因 
为 第 二 种 认证 方式 本 身 也 是 一 种 意义 不 大 的 认证 方式 ,同时 如 果 攻 击 者 捕获 明文 挑战 信 
息 和 用 WEP 密码 加 密 后 的 密 文 ,可 以 提供 更 多 破解 WEP 密码 的 信息 。 
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WEP 存在 以 下 安全 漏洞 。 

漏洞 (1) : 认证 机 制 过 于 简单 ,很 容易 通过 异 或 的 方式 破解 ,而 且 一 旦 破解 ,由 于 使 用 
的 解密 密 钥 与 加 密 密 钥 是 同一 个 ,所 以 还 会 危及 以 后 的 加 密 部 分 。 

漏洞 (2) : 认证 是 单 向 的 ,AP 能 认证 客户 端 ,但 客户 端 没 法 认证 AP。 为 无 线 钓鱼 攻 
击 提供 可 能 。 

漏洞 (3) : 初始 向 量 IV 太 短 ,重用 很 快 ,为 攻击 者 提供 很 大 的 方便 。 

漏洞 (4) : RC4 算法 被 发 现 有 “ 弱 密 钥 ”(weak key) 的 问题 ,WEP 在 使 用 RC4 的 时 候 
没有 采用 避免 措施 。 

漏洞 (5): WEP 没有 办 法 应 付 所谓 的 “ 重 放 攻 击 ”(replay attack) 。 

漏洞 (6) : 完整 性 检测 值 ICV(Integrity Check Value) 被 发 现 有 弱点 ,有 可 能 传输 数 
据 被 修改 而 不 被 检测 到 。 

漏洞 (7): 没有 密 钥 管理 ,更 新 .分 发 机 制 , 完 全 要 手工 配置 。 因 为 不 方便 ,用 户 往往 
常年 不 会 去 更 换 。 


2. WEP 破解 方法 


由 于 WEP 破解 基于 有 效 数据 报 文 的 积累 , 即 初始 向 量 IVs。 当 收集 到 足够 数量 的 
IVs 数据 报 文 后 ,利用 一 些 工具 如 Aircrack-ng 就 能 够 进行 破解 。 单 纯 依 靠 时 间 的 等 待 也 
能 够 抓 取 足够 数量 的 报 文 ,但 如 何 提高 数据 报 的 获取 速度 从 而 提高 破解 速度 也 是 需要 考 
虑 的 问题 。 目 前 最 为 广泛 的 无 线 WEP 攻击 中 ,主要 采用 的 就 是 通过 回 注 数据 报 文 来 刺 
激 AP 做 出 响应 ,从 而 来 达到 增 大 捕获 的 无 线 数据 流量 的 目的 。 

首先 , 先 介绍 有 客户 端 环 境 和 无 客户 端 环境 的 区 别 ,这 里 针对 这 一 区 别 将 WEP 的 破 
解 分 为 两 大 类 , 即 有 客户 端 环境 下 的 WEP 破解 和 无 客户 端 环境 下 的 WEP 破解 。 一 般 当 
前 无 线 网 络 中 存在 活动 的 无 线 客户 端 , 即 有 用 户 通 过 无 线 网 络 连接 到 AP 上 并 正在 进行 
上 网 等 操作 时 ,这样 的 环境 称 为 有 客户 端的 环境 。 而 所 谓 无 客户 端 环 境 指 无 线 网 络 中 没 
有 活动 的 无 线 客户 端 ,几乎 处 于 没有 网 络 流量 的 状态 。 

为 了 应 对 无 客户 端 环境 ,加 快 积累 IVs 以 破解 密码 ,可 以 采用 在 802. 11 报 文中 插 
入 预先 定义 好 的 内 容 来 伪造 数据 流 ,迫使 无 线 接 入 点 产生 大 量 的 交互 报 文 ;或 者 发 送 
攻击 包 来 强制 断 开 已 连接 的 无 线 客户 端 ,来 达到 伪造 连接 请 求 迫 使 无 线 接 入 点 响应 等 
目的 。 通 常 这 需要 网 卡 具 有 数据 注入 功 能 ,有 些 网 卡 不 提供 数据 注入 功能 ,因此 破解 
能 力 较 低 。 


3. WPA 相关 基础 知识 


WPA 全 名 为 WiFi Protected Access, 有 WPA 和 WPA2 两 个 标准 , 它 是 在 前 一 代 的 
有 线 等 效 加 密 (WEP) 中 找到 几 个 严重 的 弱点 后 产生 的 。WPA 实现 了 大 部 分 IEEE 802. 11i 
的 安全 标准 ,是 在 802. 11i 完备 之 前 替代 WEP 的 过 渡 方 案 。WPA 的 设计 可 以 用 在 所 有 
的 无 线 网 卡 上 ,但 未 必 能 用 在 第 一 代 的 无 线 接 入 点 上 。WPA?2 实现 了 完整 的 标准 ,但 不 
能 用 在 某 些 早期 的 网 卡 上 ,所 以 有 些 无 线 网 卡 无 法 与 使 用 WPA2 协议 的 无 线 接 人 点 建立 
连接 。 这 两 个 都 提供 优良 的 安全 保护 能 力 ,建议 设置 无 线 网 络 时 使 用 WPA/WPA2, 而 不 
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推荐 使 用 WEP。 

WPA 通过 使 用 TKIP 来 解决 WEP 中 的 安全 漏洞 。 使 用 的 密 钥 与 网 络 上 每 一 台 设 
备 的 MAC 地 址 及 一 个 更 大 的 初始 化 向 量 合并 :来 确保 每 一 个 节点 均 使 用 一 个 不 同 的 密 
钥 流 对 其 数据 进行 加 密 。 随 后 TKIP 会 使 用 RC4 加 密 算 法 对 数据 进行 加 密 , 但 与 WEP 
不 同 的 是 ,TKIP 修改 了 常用 的 密 钥 ,从 而 使 网 络 更 安全 ,不 易 遭 到 破坏 。 

WPA 也 包括 完整 性 检查 功能 以 确信 和 密 钥 尚 未 受到 攻击 ,同时 加 强 了 用 户 认 证 功能 ， 
并 包含 对 802. 11x 和 EAP (扩展 认证 协议 ) 的 支持 。 这样 WPA 既 可 以 通过 外 部 
RADIUS( 远 程 验 证 拨 和 用户 服 务 ) 对 无 线 用 户 进行 认证 ,也 可 以 在 大 规模 网 络 中 使 用 
RADIUS 协议 自动 更 改 和 分 配 密 钥 。 

WPA 可 分 为 两 类 

(1) 针对 家 庭 及 个 人 的 WPA-PSK: 在 小 型 网 络 或 家 庭 环境 中 提供 此 种 级 别 的 安全 
性 。 它 使 用 称 为 预 共享 密 钥 (PSK) 的 密码 ,此 密码 越 长 ,无 线 网 络 的 安全 性 就 越 强 。 其 
中 ,对 于 加 密 ,WPA 使 用 TKIP, 这 是 一 种 建立 动态 密 钥 加 密 和 互相 验证 的 机 制 。PSK 是 
设计 给 负担 不 起 802. 1x 验证 服务 器 的 成 本 和 复杂 度 的 家 庭 和 小 型 公司 网 络 用 的 ,每 一 
个 使 用 者 必须 输入 预 共享 密 钥 PSK 来 使 用 无 线 网 络 ,而 PSK 可 以 是 8 一 63 个 ASCII 字 
符 , 或 是 64 个 十 六 进 制 数字 (256 位 )。 使 用 者 可 以 自行 车 酌 要 不 要 把 PSK 存在 计算 机 
中 以 省 去 重复 输入 的 麻烦 ,但 PSK 一 定 要 存在 WiFi 接 入 点 中 。 

(2) 对 于 商业 /企业 的 WPA-Enterprise: 在 有 802. 1x RADIUS 服务 器 的 企业 网 络 
上 提供 此 种 级 别 的 安全 性 。 其 中 ,EAP 用 于 验证 过 程 中 的 消息 交换 。 它 通过 RADIUS 
服务 器 验证 用 户 的 身份 ,为 无 线 网 络 提供 行业 级 安全 性 。 

WPA2 是 经 WiFi 联盟 验证 过 的 IEEE 802. 11i 标准 的 认证 形式 。WPA2 实现 了 
802. 11i 的 强制 性 元 素 , 特 别 是 Michael 算法 被 公认 彻底 安全 的 CCMP 所 取代 ,而 RC4 
也 被 AES 取代 。Windows XP 对 WPA2 的 正式 支持 于 2005 年 5 月 1 日 推出 。 芋 果 计 算 
机 在 2005 年 7 月 14 日 后 相关 无 线 设备 也 都 支持 WPA2。 


4. WPA 密码 破解 的 方法 


由 于 WPA 不 像 WEP 有 设计 上 的 漏洞 ,目前 针对 WPA/WPA2 的 破解 方法 只 能 依 
赖 于 字典 破解 或 暴力 破解 ,所 以 破解 策略 基本 上 是 提高 字典 效率 或 提高 计算 能 力 等 。 

WPA-PSK 的 破解 基于 WPA-PSK 握手 验证 报 文 数据 的 获取 与 识别 ,攻击 者 为 了 获 
取 WPA-PSK 握手 报 文 会 发 送 一 种 称 为 Deauth 的 数据 包 来 将 已 经 连接 至 无 线路 由 器 的 
合法 无 线 客户 端 强制 断 开 ,此 时 ,客户 端 就 会 自动 重新 连接 无 线路 由 器 ,攻击 者 就 会 有 机 
会 捕获 包含 WPA-PSK 握手 验证 的 完整 数据 包 。 攻 击 者 只 要 能 够 获取 到 WPA-PSK 握 
手数 据 报 文 ,就 可 以 使 用 一 些 攻击 软件 如 Aircrack-ng 配合 WPA 密码 字典 进行 暴力 破 
解 。 最 早 的 WPA 密码 破解 完全 是 基于 WPA 密码 字典 的 破解 方式 ,这 种 方式 易于 操作 ， 
也 不 需要 特别 复杂 的 程序 实现 。 然 而 , 随 着 无 线 局 域 网 用 户 越 来 越 重视 密码 的 强健 性 , 密 
码 长 度 和 复杂 度 也 越 来 越 大 ,这 就 导致 WPA 字典 变 大 ,密码 破解 的 时 间 也 越 来 越 长 ,有 
时 候 , 密 码 破解 的 时 间 甚 至 用 年 来 计算 。 暴 力 破解 的 关键 就 在 于 时 效 性 ,如 何 提升 破解 速 
度 是 重点 。 目 前 ,就 提升 破解 速度 的 方法 大 致 有 这 几 类 : 建立 WPA-PSK Hash Tables 
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加 速 破解 WPA 密码 ;利用 图 形 处 理 器 GPU 加 速 破解 WPA 密码 ;利用 分 布 式 计算 破解 
WPA 密码 。 

(1) 基于 Hash Tables 的 方法 

可 以 说 ,长 期 进行 密码 学 研究 的 人 很 少 有 不 知道 这 个 的 。 在 很 多 年 前 ,国外 的 黑客 们 
就 发 现 单纯 地 通过 导入 字典 ,采用 和 目标 相同 算法 破解 ,其 速度 其 实 是 非常 缓慢 的 ,就 效 
率 而 言 根本 不 能 满足 实战 需要 。 之 后 通过 大 量 的 尝试 和 总 结 , 黑 客 们 发 现 如果 能 够 实现 
直接 建立 出 一 个 数据 文件 ,里 面 事 先 记 录 了 采用 和 目标 同样 算法 计算 后 生成 的 Hash 散 
列 数 值 ,在 需要 破解 的 时 候 直接 调用 这 样 的 文件 进行 比 对 ,破解 效率 就 可 以 大 幅度 地 提 
高 ,这 样 事先 构造 的 Hash 散 列 数据 文件 在 安全 界 被 称 为 Hash Table。 

(2) 基于 Rainbow Tables 的 方法 

最 出 名 的 Tables 是 Rainbow Tables, 即 安全 界 中 常 提 及 的 彩虹 表 , 最 初 它 是 以 
Windows 的 用 户 账 户 LM/NTLM 散 列 为 破解 对 象 的 。 简 单 说 明 一 下 ,在 Windows 
2000/Windows XP/Windows 2003 系统 下 ,账户 密码 并 不 是 明文 保存 的 ,而 是 通过 微软 
公司 所 定义 的 算法 ,保存 为 一 种 无 法 直接 识别 的 文件 , 即 通常 所 说 的 SAM 文件 ,可 以 将 
其 以 散 列 的 方式 提取 ,以 方便 导入 到 专业 工具 破解 。 

2003 年 7 月 瑞士 洛桑 联邦 技术 学 院 Philippe Oechslin 公布 了 一 些 实验 结果 ,他 及 其 
所 属 的 安全 及 密码 学 实验 室 (LASEC) 采 用 了 时 间 内 存 替换 的 方法 ,使 得 密码 破解 的 效率 
大 大 提高 。 作 为 一 个 例子 ,他 们 将 一 个 常用 操作 系统 的 密码 破解 速度 由 1 分 41 秒 , 提 升 
到 13.6 秒 。 这 一 方法 使 用 了 大 型 查找 表 对 加 密 的 密码 和 由 人 输入 的 文本 进行 匹配 ,从 而 
加 速 了 解密 所 需要 的 计算 。 这 种 称 作 * 内 存 -时 间 平 衡 ” 的 方法 意味 着 使 用 大 量 内 存 的 黑 
客 能 够 减少 破解 密码 所 需要 的 时 间 。 

于 是 ,一 些 受到 启发 的 黑客 们 事先 制作 出 包含 几乎 所 有 可 能 密码 的 字典 ,然后 将 其 全 
部 转换 成 NTLM Hash 文件 ,这 样 ,在 实际 破解 的 时 候 , 就 不 需要 再 进行 密码 与 Hash 之 
间 的 转换 ,直接 就 可 以 通过 文件 中 的 Hash 比 对 来 破解 Windows 账户 密码 ,节省 了 大 量 
的 系统 资源 ,使 得 效率 能 够 大 幅度 提升 。 当 然 , 这 只 是 简单 的 表述 ,采用 的 这 个 方法 在 国 
际 上 就 被 称 为 Time-Memory Trade-Off , 即 刚才 所 说 的 “内 存 -时 间 平 衡 ? 法 ,有 的 地 方 也 
会 翻译 成 “时 间 - 内 存 交 替 运 算法 ”。 其 原理 可 以 理解 为 以 空间 换取 时 间 。 

在 理解 内存- 时间 平衡 "法 和 Table 的 存在 意义 后 ,让 我 们 回 到 无 线 领域 ,破解 
WPA-PSK 也 可 以 用 同样 的 思想 。 在 2006 年 举行 的 RECON 2006 安全 会 议 上 ,一 位 来 
自 Openciphers 组 织 的 名 为 David Hulton 的 安全 人 员 详 细 演 示 了 使 用 WPA-PSK Hash 
Tables 破解 的 技术 细节 ,给 与 会 者 极 大 的 震动 。 

PTK 就 是 在 PMK 的 基础 上 进行 预 运算 产生 的 WPA Hash, 这 个 Hash 将 用 来 和 
WPA 握手 包 中 的 值 对 照 ,车 匹配 即 为 密码 。 这 种 采用 了 类 似 Rainbow Tables 原理 ,通过 
Pre-Compute 即 预 运算 的 方式 ,来 进行 提前 运算 以 生成 WPA-PSK 加 密 Hash, 从 而 建立 
的 WPA-PSK Hash Tables 可 以 有 效 地 大 幅度 提升 破解 效率 。 一 般 来 说 ,可 以 将 以 前 的 
100 一 300key/s 的 普通 单机 破解 速率 , 提升 到 30000 一 100000key/s, 提升 了 近 
300 一 1000 倍 。 就 一 些 地 下 组 织 而 言 ,通过 改进 优化 代码 等 方式 使 得 破解 速率 突破 了 
150000key/s: 而 且 还 有 提升 空间 。 
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(3) 利用 GPU 破解 WPA 密码 

GPU 英文 全 称 为 Graphic Processing Unit, 中 文 翻译 为 图形 处 理 器 *。GPU 是 相对 
于 CPU 的 一 个 概念 ,由 于 在 现代 的 计算 机 中 (特别 是 图 像 处 理 系统 ,游戏 发 烧 友 计算 机 ) 
图 形 的 处 理 变 得 越 来 越 重 要 ,需要 一 个 专门 的 图 形 的 核心 处 理 器 。 

GPU 是 显示 卡 的 “心脏 ”, GPU 相当 于 专用 于 图 像 处 理 的 CPU, 正 因为 它 专 业 , 所 以 
它 图 形 处 理 能 力 强 , 浮 点 运算 能 力 强 ,在 处 理 图 像 时 它 的 工作 效率 远 高 于 CPU。 利 用 
GPU 破解 密码 正 是 发 挥 了 其 浮 点 运算 能 力 强 的 特点 。 

2009 年 1 月 15 日 ,俄罗斯 的 一 家 软件 公司 ElcomSoft 推出 了 Wireless Security 
Auditor 1.0, 声 称 可 以 利用 GPU 的 运算 性 能 快速 攻破 无 线 网 络 WPA-PSK 及 WPA2- 
PSK 密码 ,运算 速度 相 比 使 用 CPU 可 提高 最 多 上 百倍 。 

这 款 软 件 的 工作 方式 很 简单 ,就 是 利用 词典 去 暴力 破解 无 线 AP 上 的 WPA 和 
WPA2 密码 ,还 支持 字母 大 小 写 、 数 字 蔡 代 、 符 号 顺序 变换 缩写、 元 音 蔡 换 等 12 种 变量 
设 定 ,在 AMD 和 NVIDIA 显卡 上 均 可 使 用 。 

在 Core 2 Duo E4500 和 Core 2 Quad Q6600 处 理 器 上 ,该 软件 每 秒 钟 可 以 试验 
480 个 和 1100 个 密码 , 换 成 GeForce GTX 280、Radeon HD 4870、Radeon HD 4870 X2 这 
些 显卡 能 大 幅 增 至 11800 个 .15750 个 和 31500 个 ,而 目前 最 出 色 的 是 NVIDIA 的 视觉 计 
算 系 统 Tesla S1070, 每 秒 钟 可 达 52400 个 ,相当 于 E4500 的 110 倍 。 

(4) 利用 分 布 式 计算 提高 破解 效率 

分 布 式 计 算是 一 种 把 需要 进行 大 量 计算 的 工程 数据 分 割 成 小 块 , 由 多 台 计算 机 分 别 
计算 ,再 上 传 运算 结果 并 将 结果 统一 合并 后 得 出 数据 结论 的 科学 。 

目前 常见 的 分 布 式 计算 项 目 通 常 使 用 世界 各 地 上 千 万 志愿 者 计算 机 的 闲置 计算 能 
力 , 通 过 互联 网 进行 数据 传输 。 如 分 析 计 算 蛋 白质 的 内 部 结构 和 相关 药物 的 Folding@ 
home 项 目 , 该 项 目 结构 庞大 ,需要 惊人 的 计算 量 ,由 一 台 计 算 机 计算 是 不 可 能 完成 的 。 
即使 现在 有 了 计算 能 力 超 强 的 超级 计算 机 ,但 是 一 些 科研 机 构 的 经 费 却 又 十 分 有 限 。 

在 并 行 算法 中 ,对 资源 的 要 求 除了 时 间 和 空间 之 外 ,还 包括 计算 机 的 数量 。 在 并 行 系 
统 中 ,更 多 的 计算 机 会 使 得 问题 解决 得 更 加 快速 。 在 分 布 式 算法 分 析 中 ,人 们 更 加 关注 的 
是 计算 机 间 的 通信 而 不 是 算法 步 又。 同步 系统 可 能 算是 最 简单 的 分 布 式 系统 了 ,因为 它 
里 面 所 有 的 节点 步调 一 致 。 在 每 一 轮 通 信 中 ,所 有 节点 并 行 : 

@ 从 它们 邻居 节点 接受 最 新 消息 。 

@ 执行 任意 的 本 地 计算 。 

@ 给 邻居 节点 发 送信 息 。 

比较 流行 的 分 布 式 计 算 方 案 是 使 用 MapReduce 分 布 式 系统 计算 破解 WPA 密码 。 
MapReduce 正式 发 表 是 在 2004 年 ,是 在 超大 集群 上 进行 高 性 能 分 布 式 计算 的 经 典 算法 。 
MapReduce 是 工作 在 分 布 式 环境 下 的 一 种 扩展 灵活 的 算法 ,搜索 引擎 的 公司 经 常会 处 理 
大 量 的 网 页 ,计算 网 页 的 权 值 ,例如 统计 一 个 网 页 的 单词 数量 ,都 是 在 分 布 式 计算 环境 下 
做 的 。 

由 此 可 以 看 出 ,MapReduce 分 布 式 处 理 大 数据 流量 游 九 有 余 , 如 果 用 来 破解 WPA 
密码 ,可 以 同时 分 布 处 理 很 多 密 钥 ,这 样 大 大 加 快 了 WPA 破解 的 速度 ,但 是 这 个 破解 方 
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法 成 本 太 大 ,同样 ,破解 速度 也 受到 计算 机 运算 速度 的 制约 。 


16.3.2 无 线 阻塞 攻击 


无 线 阻塞 攻击 通常 指 无 线 网 络 中 的 拒绝 服务 攻击 , 即 攻击 者 利用 网 络 协议 中 的 缺陷 
或 直接 通过 野蛮 手段 耗 尽 被 攻击 对 象 的 资源 ,目的 是 让 目标 计算 机 或 网 络 无 法 提供 正常 
的 服务 或 资源 访问 ,或 使 目标 系统 的 服务 系统 停止 响应 甚至 崩溃 。 这 些 服务 资源 包括 网 
络 带宽 、 开 放 的 进程 或 者 允许 的 连接 等 。 拒 绝 服务 攻击 通常 会 导致 资源 的 匮乏 ,无论 计算 
机 的 处 理 速 度 多 快 . 内 存 容量 多 大 、 网 络 带宽 的 速度 多 高 都 无 法 避免 这 种 攻击 带 来 的 后 
果 , 因 为 任何 事物 都 有 一 个 极限 ,所 以 总 能 找到 一 个 方法 使 请 求 的 值 大 于 该 极限 值 ,最 终 
导致 整个 网 络 性 能 严重 下 降 。 

这 里 提 到 的 无 线 阻 塞 攻击 主要 是 利用 802. 11 协议 所 特有 的 一 些 漏洞 进行 拒绝 服务 
攻击 。 下 面 将 分 析 几 种 较为 常见 的 无 线 局 域 网 络 的 拒绝 服务 攻击 方法 。 


1. 物理 层 的 阻塞 攻击 


由 于 无 线 局 域 网 的 物理 层 使 用 无 线 电 信号 ,所 以 这 些 信 号 一 旦 受到 干扰 ,就 会 遭受 阻 
塞 攻击 ,物理 层 的 阻塞 攻击 主要 有 射频 干扰 攻击 (RF Jamming Attack) ,该 攻击 通过 发 出 
干扰 射频 实现 破坏 无 线 通 信 的 目的 。IEEE 802. 11 协议 标准 规定 , WLAN 主要 工作 在 
2. 4GHz 和 5GHz 两 个 频段 上 ,采用 载波 侦 听 多 路 访问 /避免 冲突 (CSMA/CA) 机 制 。 该 
机 制 采用 避免 冲突 检测 ,使 用 信道 空闲 评估 (CCA) 算 法 来 决定 信道 是 否 空 闲 。 当 移动 终 
端 或 AP 接收 到 干扰 信号 或 碰撞 信号 后 就 会 有 所 响应 ,进入 等 待 或 重 发 状态 。 信 道 干扰 
攻击 正 是 利用 了 该 机 制 的 原理 ,在 WLAN 工作 的 频段 上 施放 大 功率 的 信号 ,使 移动 终端 
或 AP 误 以 为 是 信道 繁忙 ,从 而 放弃 该 次 通信 。 如 果 攻 击 者 长 时 间 的 实施 攻击 , 则 整个 
WLAN 的 吞吐 量 会 大 幅 下 降 , 从 而 达到 了 拒绝 服务 的 目的 。 

目前 主要 的 实现 方式 有 全 频道 阻塞 干扰 和 瞄准 式 阻塞 干扰 等 。 全 频道 阻塞 干扰 即 大 
功率 完全 覆盖 干扰 ,这 种 干扰 完全 覆盖 目标 区 域 的 整个 频段 ,如 2. 4GHz, 有 效 阻塞 几乎 
所 有 正常 信号 传输 ,但 干扰 效果 有 上 距离 限制 。 瞒 准 式 干 扰 则 只 针对 某 一 段 频带 进行 干扰 ， 
如 攻击 方 破解 了 对 方 的 通信 频带 ,发 送 干 扰 信 息 ,而 攻击 方 自己 不 会 受到 影响 。 现 有 的 干 
扰 方 式 主要 通过 高 传输 功率 和 频繁 地 注入 干扰 信号 来 中 断 通信 .这样 就 加 大 了 被 检测 到 
的 风险 。 然 而 ,攻击 者 可 以 间 向 性 地 向 介质 中 注入 信号 并 且 占 用 信道 ,干扰 正常 通信 并 以 
最 小 的 干扰 成 本 来 中 断 WLAN 业务 。 

还 有 一 些 针对 IEEE 802. 11 速率 自 适应 算法 (RAA) 的 弹性 智能 干扰 攻击 ,利用 了 
IEEE 802. 11MAC 层 协议 中 的 设计 缺陷 ,如 数据 包 传 输 速率 的 透明 化 ,可 预见 性 的 速率 
选择 机 制 ,节点 等 概率 传输 和 缺乏 干扰 分 化 。 


2. 过 载 攻 击 


过 载 攻击 (overloaded attack) 类 似 于 传统 有 线 网 络 中 的 DoS 攻击 , 它 是 通过 大 量 发 
送 非 法 数据 帧 ,完全 占用 AP 或 者 是 客户 端 资源 ,使 其 拒绝 新 的 合法 用 户 的 请 求 。 这 种 攻 
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击 根据 发 送 的 数据 帧 不 同 主要 分 成 以 下 几 种 : 

(1) 认证 洪水 攻击 

认证 洪水 攻击 (Authentication Flood Attack) 是 拒绝 服务 攻击 的 一 种 形式 ,该 攻击 从 
处 于 已 关联 /已 认证 状态 ( 见 图 16. 9 状态 3) 的 关联 客户 端 向 AP 发 送 大 量 伪 造 的 身份 认 
证 请 求 帧 (伪造 的 身份 验证 服务 和 状态 代码 )。 当 收 到 大 量 伪造 的 身份 验证 请 求 超过 所 能 
承载 的 能 力 时 ,AP 将 断 开 其 他 无 线 服 务 连接 。 一 般 情况 下 ,为 了 进行 认证 洪水 攻击 , 攻 
击 者 会 先 使 用 一 些 看 似 合法 ,但 其 实 是 随机 生成 的 MAC 地 址 来 伪造 正常 的 客户 端 ,然后 
攻击 者 将 这 些 伪 造 的 认证 数据 帧 大 量 发 送 给 AP, 对 AP 发 送 持续 并 且 猛 烈 的 连接 请 求 ， 
最 终 导致 AP 连接 列表 出 现 错误 。 


第 一 类 帧 


i 解除 认证 
认证 成 功 Wa 
-类 和 解除 认证 
第 二 类 帧 Deauthentication 
连接 成 功 或 解除 连接 
重新 连接 Disassociation 


图 16.9 无 线 认证 状态 转换 


(2) 关联 洪水 攻击 

关联 洪水 攻击 (Association Flood Attack) 原 理 和 认证 洪水 攻击 类 似 ,不 过 攻击 者 通 
过 大 量 伪造 的 无 线 客户 的 关联 填充 AP 的 客户 端 关联 列表 来 使 AP 拒绝 向 其 他 合法 的 无 
线 用 户 提供 服务 。 在 IEEE 802. 11 协议 中 , 预 共享 密 钥 身份 认证 存在 一 定 缺 陷 , 其 安全 选项 
只 是 开放 身份 认证 , 即 空 身份 认证 ,因此 它 依赖 于 更 高 级 的 身份 认证 方法 ,如 802. 1x。 
一 般 情 况 下 ,开放 身份 认证 允许 客户 端 在 通过 身份 验证 后 进行 关联 ,利用 这 种 漏洞 可 以 在 
状态 3 的 客户 端 模拟 出 很 多 伪造 的 客户 端 向 AP 发 动 洪水 式 的 拒绝 服务 攻击 。 

(3) Beacon 洪水 攻击 

Beacon 数据 包 用 于 定期 向 整个 无 线 局 域 网 络 通告 AP 的 信息 , Beacon 洪水 攻击 
(Beacon Flood Attack) 就 是 攻击 者 利用 Beacon 数据 包 的 特性 ,大 量 伪 造 不 同 AP 的 
Beacon 数据 包 发 往 无 线 局 域 网 络 中 ,试图 使 无 线 网 络 中 的 正常 用 户 的 无 线 网 络 扫描 器 甚 
至 是 网 卡 驱动 瘫痪 。 
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随 着 无 线 网 络 硬件 功能 的 不 断 加 强 , 以 上 三 种 攻击 已 很 难 达 到 预想 的 效果 。 

3. 认证 攻击 

IEEE 802. 11 定义 了 一 种 客户 端 状态 机 制 , 用 于 跟踪 无 线 客户 端 身份 验证 和 关联 验 
证 。 无 线 终端 和 AP 基于 IEEE 标准 实现 这 种 状态 机 制 , 如 图 16. 9 所 示 。 成 功 关联 的 无 
线 客 户 端 停留 在 状态 3, 才 能 进行 无 线 通信 。 处 于 状态 1 和 状态 2 的 客户 端 在 通过 身份 
认证 和 关联 前 无 法 参与 WLAN 数据 通信 过 程 。 

由 于 现 有 的 安全 协议 不 能 对 控制 帧 和 管理 帧 提供 保护 和 认证 ,因此 攻击 者 可 以 通过 
伪造 这 两 种 帧 来 发 起 阻塞 攻击 。 认 证 攻击 (Authentication Attack) 是 利用 IEEE 802. 11 
协议 中 客户 端 和 AP 之 间 认 证 和 关联 过 程 中 的 漏洞 进行 攻击 的 方式 ,这 类 攻击 往往 具有 
很 高 的 效率 ,并 且 可 以 实现 AP 对 于 特定 或 是 全 部 客户 端的 完全 拒绝 服务 。 这 类 攻击 主 
要 分 为 以 下 几 种 : 

(1) 解除 认证 攻击 (Deauthentication Attack) 

由 于 IEEE 802. 11 协议 在 MAC 层 通过 MAC 地 址 判断 发 送 端的 合法 性 ,没有 使 用 
严格 的 认证 机 制 来 确保 发 送 端的 合法 性 ,从 而 导致 无 法 对 解除 认证 帧 的 合法 性 进行 判断 。 
因此 ,攻击 者 可 以 通过 修改 数据 包 的 MAC 源 地 址 ”cjient te AP 
来 伪装 合法 客户 端 或 AP 来 发 送 解除 认证 帧 ,被 解 
除 认证 的 工作 站 发 送 的 数据 帧 就 不 会 再 被 AP 所 接 
收 。 该 解除 是 单方 面 的 , 即 一 旦 接收 到 解除 认证 帧 
就 立即 断 开 连接 ,如 图 16. 10 所 示 。 一 般 来 说 ,在 攻 
击 者 发 送 另 一 个 Deauthentication 攻击 之 前 ,客户 
端 会 重新 关联 和 认证 以 再 次 获得 服务 ,如 果 攻 击 者 
频繁 地 发 送 解 除 认 证 帧 ,将 导致 客户 端 无 法 进行 正 
常 的 通信 ,从 而 造成 解除 认证 拒绝 服务 攻击 。 这 种 
形式 的 攻击 在 断 开 客户 端 无 线 服 务 方面 非常 有 效 和 
快捷 。 

(2) 解除 关联 攻击 (Disassociation Attack) 

解除 关联 认证 的 攻击 方式 和 解除 认证 攻击 的 方 
式 很 类 似 ,但 是 发 送 的 数据 包 类 型 却 是 不 同 的 . 它 通 
过 伪造 从 AP 到 客户 端的 单 播 取消 关联 数据 帧 来 将 。 图 18 10 解除 认证 攻击 示意 图 
客户 端 从 已 关联 /已 认证 状态 转换 到 未 关联 /已 认证 
状态 。 攻 击 者 还 可 以 发 送 断 开 连 接 请 求 帧 发 动 解除 关联 攻击 ,攻击 者 也 可 以 发 送 大量 的 
解除 关联 帧 使 AP 忙于 处 理 这 些 请 求 , 从 而 不 能 正常 的 通信 ,导致 网 络 拒绝 服务 。 相 比 之 
下 ,解除 认证 攻击 具有 更 大 的 灵活 性 。 一 方面 发 起 这 种 攻击 所 需要 的 数据 量 比较 少 ,而 且 
它 所 要 求 的 信道 干扰 时 间 也 很 少 , 隐 蔽 性 较 好 。 另 一 方面 ,由 于 可 以 针对 某 一 个 工作 站 发 
送 解 除 认 证 数据 ,这 样 便 可 以 阻止 某 个 特定 的 工作 站 访问 网 络 ,攻击 的 针对 性 比较 强 。 

(3) 虚假 认证 攻击 (Failure Authentication Attack) 

虚假 认证 攻击 和 解除 认证 攻击 的 结果 是 相同 的 ,但 是 攻击 手段 有 所 不 同 。 它 通过 向 
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AP 发 送 伪造 的 特定 客户 端的 认证 数据 帧 (含有 一 些 AP 无 法 解析 的 参数 ) ,使 AP 拒绝 向 
该 客户 端 提供 服务 。 

以 上 3 种 攻击 利用 IEEE 802. 11 协议 认证 过 程 中 存在 的 漏洞 ,在 真实 的 环境 里 有 很 
强 的 攻击 效果 。 

4. 持续 时 间 攻 击 


为 了 解决 隐藏 节点 和 大 数据 帧 传输 过 程 冲突 等 问题 ,IEEE 802. 11 协议 使 用 网 络 分 
配 向 量 (Network Allocation Vector',NAV) 实 现 了 虚拟 载波 侦 听 (Virtual Carrier Sense) 
的 技术 ,其 数据 帧 时 序 如 图 16. 11 所 示 。 


DIFS | RTS 数据 
源 站 点 [| 


目的 站 点 


NAV( 数 据 ) 


NAV(CTS) 


NAV(RTS) 


延迟 访问 


图 16.11 RTS/CTS 数据 帧 时 序 图 


当 一 个 无 线 网 络 节点 准备 发 送 的 数据 帧 大 于 RTS(Request to Send) 门 限时 (大 于 
2347 字 节 ) 或 是 网 络 中 存在 隐藏 节点 时 , 它 会 首先 单 播发 送 RTS 控制 数据 帧 ,其 中 的 持 
续 时 间 (duration) 字 段 将 被 设置 为 一 段 时 间 ( 包 括 3 个 SIFS 间隔 、CTS 发 送 时 间 、 数 据 发 
送 时 间 和 ACK 发 送 时 间 ) ,目的 节点 收 到 RTS 后 会 以 广播 发 送 CTS(Clear to Send) 控 制 
数据 帧 通知 整个 无 线 网 络 的 节点 ,该 CTS 数据 帧 的 持续 时 间 字 段 包括 两 个 SIFS 间隔 , 数 
据 发 送 时 间 和 ACK 发 送 时 间 。 网 络 中 的 任何 节点 收 到 RTS 或 者 是 CTS 后 都 将 根据 数 
据 帧 的 持续 时 间 字 段 设 置 自 己 的 NAV 时 间 。 如 果 NAYV 为 一 个 非 零 数值 ,那么 节点 就 不 
能 发 送 数据 。 很 显然 ,利用 RTS/CTS 握手 的 方式 可 以 有 效 地 防止 某 些 特殊 情况 下 信道 
的 冲突 问题 ,但 是 ,这 一 机 制 也 很 可 能 被 别有用心 的 攻击 者 所 利用 ,发 动 拒绝 服务 攻击 。 
攻击 者 可 以 定期 利用 RTS 控制 数据 帧 或 是 CTS 控制 数据 帧 来 达到 占用 整个 信道 的 目 
的 。RTS 或 者 CTS 的 持续 时 间 字 段 的 最 大 值 为 32767js, 约 为 32ms, 因 此 理论 上 来 说 ， 
只 要 攻击 者 每 秒 发 送 31 次 含有 最 大 持续 时 间 的 RTS 或 是 CTS 控制 数据 帧 就 能 完全 占 
用 无 线 信 道 。 

因为 部 分 厂商 生产 的 802. 11 产品 并 未 完全 实现 IEEE 802. 11 协议 标准 的 所 有 功能 
(例如 RTS/CTS 机 制 ), 所 以 这 类 持续 时 间 攻 击 在 实际 环境 中 并 不 是 一 定 可 行 的 。 
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5. 节能 攻击 


节能 攻击 (power saving attack) 利 用 了 AP 节能 机 制 的 漏洞 。AP 为 了 节省 能 量 , 客 
户 端 往往 会 处 于 一 个 "休眠 ”状态 , 则 AP 本 应 该 发 往 客户 端的 数据 会 暂 存 于 AP 的 缓冲 
区 中 。 当 客户 端 恢复 正常 后 ,发送 一 个 PS-Poll(Power-Save Poll) 帧 通知 AP 将 其 暂 存 于 
缓冲 区 中 的 数据 发 送 给 它 ,发 送 完毕 后 清除 缓冲 区 数据 。 攻 击 者 可 以 先 通 过 伪造 处 于 休 
眠 状态 客户 端的 MAC 地 址 ,随后 向 AP 发 送 PS-Poll 帧 ,AP 会 认为 这 个 帧 来 自 一 个 合 
客户 端 ,并 将 其 缓冲 区 中 的 帧 发 送 后 清除 , 当 合法 客户 端 从 休眠 中 恢复 时 ,将 永远 无 法 接 
收 到 这 些 帧 。 

同样 ,我 们 也 可 以 欺骗 客户 端 , 谎 称 AP 没有 缓存 数据 。 缓 存 的 数据 包 显示 在 一 个 定 
期 广播 的 数据 包 中 ,叫做 流量 指示 表 或 TIM。 如 果 TIM 报 文 自身 是 伪造 的 ,攻击 者 可 以 
使 客户 端 相 信 没 有 属于 自己 的 数据 包 , 并 使 客户 端 切换 回 睡 眠 状态 。 

最 后 ,节能 的 方式 依靠 AP 和 客户 端 之 间 的 时 间 同 步 ,这 样 客户 端 就 知道 何 时 苏醒 。 
关键 的 同步 信息 在 发 送 过 程 中 是 不 认证 的 并 且 是 明文 的 。 通 过 伪造 这 些 管 理 数 据 包 , 攻 
击 者 可 以 阻止 客户 端 与 AP 同步 和 在 合适 的 时 间 苏 醒 。 


16.3.3 无 线 钓鱼 攻击 


无 线 钓 鱼 接 入 点 攻击 是 指 攻击 者 在 公共 场合 架设 一 个 伪装 的 无 线 接 入 点 (Access 
Point,AP) ,设置 与 真实 AP 完全 相同 的 服务 集 标识 (Service Set Identifier, SSID) ,使 得 
受害 者 误 连 上 骨牌 的 无 线 接 人 点 ,可 进一步 开展 窃取 密码 等 攻击 。 国 外 有 些 学 者 称 为 
Evil Twin AP( 政 恶 双子 AP) 或 者 Rogue AP( 流 谍 AP) , 它 具 有 和 合法 授权 AP 相同 的 
SSID, 但 事实 上 它 是 攻击 者 设置 的 用 来 窍 听 合 法 用 户 的 无 线 通信 。 无 线 钓 鱼 AP 被 定义 
为 不 合法 的 接 人 点 , 它 并 不 是 由 WLAN 运营 商 或 管理 者 部 署 的 。 这 种 攻击 很 难 被 跟踪 
发 现 , 因 为 攻击 者 启动 和 关闭 设备 具有 突然 性 和 随机 性 ,他 们 获取 目标 所 持续 的 时 间 也 很 
短 。 无 线 钓鱼 AP 攻击 通常 发 生 在 一 些 有 免费 AP 的 地 方 ,例如 机 场 . 咖 啡 店 `. 宾 馆 和 图 
书馆 。 在 部 署 无 线 钓鱼 AP 后 ,攻击 者 可 以 发 动 被 动 攻击 ,如 侦 听 敏感 通信 。 攻 击 者 还 可 
以 发 动 主动 攻击 ,如 采用 “中 间 人 ”攻击 方式 ,操纵 DNS 服务 器 ,控制 路 由 器 等 。 防 御 无 线 
钓鱼 AP 具有 重要 的 安全 意义 , 它 可 以 从 物理 层面 杜绝 后 续 一 系列 的 网 络 攻击 。 


1. 原理 与 实现 


无 线 钓鱼 AP 攻击 的 基本 原理 很 简单 ,通常 无 线 钓 鱼 AP 越 靠近 用 户 则 越 容 易 成 功 ， 
这 是 因为 根据 IEEE 802. 11 协议 标准 , 当 周 围 存在 多 个 配置 相同 的 AP 时 ,客户 端 总 是 会 
选择 信号 最 强 的 一 个 连接 ,目前 大 部 分 无 线 客户 端 设 备 的 操作 系统 ,如 个 人 计算 机 上 的 
Windows 操作 系统 ,智能 手机 和 平板 计算 机 上 的 iOS 和 Android 操作 系统 ,都 不 会 区 分 
SSID 相同 的 无 线 接 人 点 , 且 默 认 的 网 络 配置 软件 只 显示 信号 强度 最 强 的 一 个 无 线 接 人 
点 ,操作 系统 默认 为 “ 瘦 ”AP 模式 ,即使 用 多 个 同名 无 线 网 桥 建 立 网 络 连接 。 当 无 线 AP 
出 现 信 号 不 好 、 数 据 丢 包 等 情况 ,这 些 操作 系统 会 自动 切换 到 另 一 同名 AP 而 不 会 给 用 户 
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任何 提示 ,以 方便 用 户 在 无 线 局 域 网 中 漫游 使 用 。 因 此 为 了 吸引 用 户 连接 ,无 线 钓 鱼 AP 
的 信号 一 般 要 比 其 他 合法 AP 的 信号 强 。 无 线 钓 鱼 AP 攻击 的 基本 步骤 是 ,首先 攻击 者 
挑选 一 个 合法 AP ,准备 以 此 为 目标 进行 复制 ;其 次 攻击 者 获取 合法 AP 的 SSID 名 称 、 无 
线 频道 .无线 加 密 方式 等 配置 信息 ;最 后 ,攻击 者 按 相 同 的 配置 设置 部 署 好 伪 AP 等 待 用 
户 上 当 , 或 者 攻击 者 主动 发 送 欺骗 报 文 给 AP, 强 制 用 户 断 开 与 合法 授权 AP 的 连接 。 无 
线 钓 鱼 AP 攻击 原理 图 如 图 16. 12 所 示 。 


有 仿 (0) 
合法 授权 AP b 合法 授权 AP 


一 -一 一 之 一 一 一 一 ((0) 
ef Ss Ty i 
非法 攻击 者 
合法 无 线 客户 端 合法 无 线 客户 端 


(a) 正常 工作 时 (b) 无 线 钓鱼 AP 攻击 中 
图 16.12 无 线 钓鱼 AP 攻击 原理 图 


无 线 钓鱼 AP 攻击 的 目的 主要 有 三 个 : 

(1) 伪装 成 正常 工作 的 基站 ,使 得 合法 客户 端 连接 至 钓鱼 AP, 转 发 客户 端 网 络 连接 
请 求 , 以 截获 数据 内 容 或 进行 数据 流 操控 。 

(2) 恶意 创建 大 量 虚假 AP 基站 信号 ,达到 干扰 正常 无 线 通信 、 破 坏 合 法 用 户 网 络 通 
信 的 目的 ,形成 拒绝 服务 攻击 。 

(3) 由 间谍 或 被 收买 的 内 部 成 员 在 内 部 有 线 网 络 设备 上 偷偷 搭设 非法 AP, 以 便 从 外 
部 可 以 轻松 渗透 高 强度 安全 环境 ,如 采用 内 外 网 隔离 的 机 构 。 这 里 主要 分 析 第 一 类 的 无 
线 钓 鱼 攻击 , 即 诱 使 无 线 客户 端 访问 虚假 无 线 接 人 点 的 攻击 方式 。 

目前 ,主要 有 两 类 无 线 钓 鱼 AP 可 以 通过 不 同 的 设备 进行 配置 。 第 一 种 类 型 是 使 用 
典型 的 无 线路 由 器 作 无 线 钓鱼 AP。 第 二 种 类 型 是 在 一 台 便 携 式 笔 记 本 电脑 上 配置 两 块 
无 线 网 卡 ,一 块 是 使 用 Client 模式 用 来 连接 真 的 AP, 以 便 将 用 户 数据 转发 回 Internet, 另 
一 块 网 卡 设 置 为 AP 模式 ,网 卡 本 身 配置 成 一 个 无 线 AP, 吸 引 其 他 用 户 接 入 ,其 中 比较 著 
名 的 无 线 钓 鱼 软件 就 是 AirSnarf。AirSnarf 是 一 个 简单 的 恶意 无 线 接 入 点 设置 使 用 程 
序 , 旨 在 展示 一 个 无 线 钓鱼 AP 如 何 从 公共 无 线 热点 窃取 用 户 名 和 密码 ,AirSnarf 是 一 款 
跨 平 台 软 件 , 目 前 已 经 支持 Windows XP、Linux 操作 系统 ,甚至 可 以 作为 固件 刷 入 
Linksys WRT54G 系列 的 无 线路 由 器 中 。 同 时 AirSnarf 还 需要 其 他 自动 化 应 答 工具 辅 
助 以 形成 完整 的 无 线 钓鱼 AP, 如 DNS 域名 解析 服务 、Web 应 用 服务 \ 动 态 网 站 环境 等 。 


2. 无 线 钓 鱼 AP 攻击 方式 
无 线 钓鱼 AP 可 以 被 动 地 等 待 客户 来 连接 ,也 可 以 通过 强制 发 送 假冒 的 取消 连接 请 
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求 帧 或 取消 认证 帧 来 强制 改变 用 户 连 接 。 因 此 ,无 线 钓鱼 AP 攻击 可 以 大 致 分 为 等 待 式 
攻击 和 强制 式 攻击 。 

1) 等 待 式 攻击 

目前 大 部 分 无 线 钓鱼 AP 攻击 都 属于 等 待 式 攻击 , 即 攻击 者 通过 设置 与 合法 AP 相 
同 的 SSID 信道、 加密 方式 的 钓鱼 AP 后 ,被 动 等 待 受害 者 连接 钓鱼 AP。 通 常 因为 合法 
AP 信号 不 好 、 数 据 丢 包 、 无 线 网 络 过 载 ,或 者 钓鱼 AP 具有 更 强大 的 发 射 功率 ,用 户 会 误 
连 上 钓鱼 AP。 这 种 被 动 钓鱼 的 攻击 效果 有 限 , 因 为 其 依赖 于 用 户 是 否 会 选择 伪装 AP 连 
接 , 如 果 合 法 AP 的 信和 号 强度 更 好 ,通常 用 户 计 算 机 的 操作 系统 会 默认 连接 合法 的 AP, 等 
待 式 钓 鱼 AP 则 失去 作用 。 

2) 强制 式 攻击 

强制 式 无 线 钓鱼 AP 攻击 , 即 攻击 者 部 署 好 钓鱼 AP 后 ,主动 地 通过 前 文 所 提 到 的 无 
线 阻塞 攻击 来 切断 受害 者 与 合法 AP 的 连接 ,此 时 受害 者 被 迫 选择 与 钓鱼 AP 连接 。 研 
究 调查 显示 ,目前 基于 PC 终端 的 Windows 操作 系统 和 基于 移动 终端 Android\iOS 等 操 
作 系 统 中 ,不 区 分 同名 AP, 默 认 连 接 信号 强度 强 的 AP。 受 害 者 与 合法 AP 断 开 连 接 后 ， 
操作 系统 很 容易 自动 切换 至 钓鱼 AP 而 不 给 受害 者 任何 提示 ,攻击 者 利用 这 一 特点 ,进行 
强制 式 攻击 ,使 得 攻击 效果 得 到 极 大 的 提升 ,从 而 可 以 实施 后 续 相关 攻击 。 强 制式 无 线 钓 
鱼 AP 攻击 原理 图 如 图 16. 13 所 示 。 


无 线 钓鱼 AP 
与 伪造 的 无 线 钓鱼 AP 连接 


强制 式 无 线 钓鱼 AP 攻击 常常 需要 无 线 阻塞 攻击 的 配合 。 在 WLAN 中 ,攻击 者 可 以 通过 
多 种 方式 实施 无 线 阻塞 攻击 ,在 前 文中 已 经 提 到 ， 如 利用 物理 频率 干扰 方式 阻止 WLAN 
的 接 入 ,或 者 是 通过 发 送 大 量 的 消息 以 耗 尽 网 络 带 宽 , 或 者 是 利用 安全 机 制 ,使 AP 和 无 
线 客户 端 疫 于 应 付 数据 安全 性 验证 ,以 降低 用 户 的 接 和 人 速率 等 。 另 一 种 方式 是 向 AP 发 
送 大 量 无 效 的 关联 信息 ,导致 AP 因 信息 量 过 载 而 瘫 疾 , 不 能 提供 正常 的 无 线 接 入 服务 ， 
影响 其 他 合法 无 线 客户 端 与 AP 间 建 立 关联 关系 。 
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Ima Dr- 


. 什么 是 802. 11 WLAN 的 基本 构架 模型 ? 

. 简要 列 出 IEEE 802. 11 服务 。 

.简要 描述 IEEE 802. 11i 操作 的 4 个 阶段 。 

. TKIP 和 CCMP 之 间 的 区 别 是 什么 ? 

. 为 什么 WEP 比 WPA 更 容易 破解 ? 

. 目前 破解 WPA 的 策略 有 哪些 ? 

. 什么 是 无 线 阻塞 攻击 ,目前 有 哪 几 类 的 无 线 阻塞 攻击 ? 
. 什么 是 无 线 钓鱼 攻击 ? 如 何 防范 无 线 钓鱼 攻击 ? 


第 17 章 恶意 代码 


代码 指 执行 后 可 完成 某 种 特定 功能 的 计算 机 程序 。 但 任何 事物 都 有 两 面 性 ,人 类 
发 明 的 所 有 工具 既 可 给 人 类 造福 ,也 可 起 到 破坏 作用 ,这 完全 取决 于 使 用 工具 的 人 。 
计算 机 程序 也 不 例外 ,在 软件 工程 师 们 编写 大 量 有 用 的 软件 (操作 系统 、 应 用 系统 和 数 
据 库 系统 等 ) 的 同时 ,黑客 们 却 编写 着 扰乱 社会 和 他 人 ,甚至 起 着 破坏 性 作用 的 计算 机 
程序 。 


17.1 恶意 代码 概述 


在 Internet 恶意 代码 安全 事件 中 ,恶意 代码 造成 的 经 济 损失 占有 很 大 的 比例 。 恶 
意 代 码 泛 指 所 有 恶意 的 程序 代码 ,是 一 种 可 造成 目标 系统 信息 泄露 和 资源 滥用 ,破坏 
系统 的 完整 性 及 可 用 性 ,违背 目标 系统 安全 策略 的 程序 代码 。 它 能 够 通过 存储 介质 或 
网 络 进行 传播 ,未 经 授权 认证 访问 或 者 破坏 计算 机 系统 。 目 前 ,恶意 代码 主要 包括 计 
算 机 病毒 (Virus) ,蠕虫 (Worm) ,木马 程序 (Trojan Horse) 后门 程 序 (Backdoor) 和 逻辑 
炸弹 (Logic Bomb) 等 。 日 益 严重 的 恶意 代码 问题 ,不 仅 使 企业 及 用 户 蒙 受 了 巨大 经 济 
损失 ,而 且 使 国家 的 安全 面临 着 严重 威胁 。 恶 意 代码 已 成 为 信息 战 、 网 络 战 的 重要 
手段 。 

一 个 典型 的 例子 是 在 电影 (独立 日 ) 中 ,美国 空军 对 外 星 飞船 进行 核 又 炸 没有 效果 ,最 
后 给 敌人 飞船 系统 注入 恶意 代码 ,使 敌人 飞船 的 保护 层 失效 ,从 而 拯救 了 地 球 。 电 影 里 面 
的 这 个 情节 显示 了 好 莱 坞 编剧 的 想象 力 , 但 这 里 有 明显 的 漏洞 ,因为 在 对 敌人 飞船 软件 系 
统 不 了 解 的 情况 下 ,是 不 可 能 编写 出 恶意 代码 的 ,不 过 这 也 说 明 对 恶意 代码 进行 研究 的 重 
要 性 。 现 实 中 一 个 有 名 的 例子 是 震 网 (Stuxnet) ,这 是 一 种 Windows 平台 上 的 计算 机 蠕 
虫 ,2010 年 6 月 首次 被 白俄罗斯 安全 公司 VirusBlokAda 发 现 ,其 名 称 是 从 代码 中 的 关键 
字 得 来 , 它 的 传播 是 从 2009 年 6 月 开始 甚至 更 早 , 首 次 大 范围 报道 的 是 Brian Krebs 的 安 
全 博客 。 它 是 首 个 针对 工业 控制 系统 的 蠕虫 病毒 ,利用 西门 子 公 司 控制 系统 (SIMATIC 
WinCC/Step7) 存 在 的 漏洞 感染 数据 采集 与 监控 系统 (SCADA), 能 向 可 编程 逻辑 控制 器 
(PLC) 写 入 代码 并 将 代码 隐藏 。 这 是 有 史 以 来 第 一 个 包含 PLC Rootkit 的 计算 机 蠕虫， 
也 是 已 知 的 第 一 个 以 关键 工业 基础 设施 为 目标 的 蠕虫 。 此 外 ,该 蠕虫 的 可 能 目标 为 伊朗 
使 用 西门 子 控制 系统 的 高 价值 基础 设施 。 据 报道 ,该 蠕虫 病毒 可 能 已 感染 并 破坏 了 伊朗 
纳 坦 效 的 核 设施 ,并 最 终 使 伊朗 的 布什 尔 核电 站 推迟 启动 。 

恶意 代码 的 特征 包括 三 个 方面 : 它 带 有 恶意 的 目的 \ 它 本 身 是 计算 机 程序 和 它 一 般 
通过 执行 来 发 挥 作用 。 通 常 ,更 多 的 人 认为 “病毒 ”代表 了 所 有 感染 计算 机 并 造成 破坏 的 
程序 。 事 实 上 ,恶意 代码 更 为 通用 ,病毒 只 是 一 种 类 型 的 恶意 代码 而 已 。 
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17.1.1 恶意 代码 的 发 展 史 


早 在 1949 年 ,计算 机 的 先驱 者 约翰 。 汉 “ 诺 依 曼 在 他 的 论文 (自我 繁衍 的 自动 机 理 
论 ) 中 已 把 病毒 的 蓝图 勾勒 出 来 ,当时 , 绝 大 部 分 的 计算 机 专家 还 不 太 相 信 这 种 会 自我 繁 
殖 的 程序 。 然 而 短 短 十 年 之 后 , 磁 芯 大 战 (core war) 在 贝尔 实验 室 中 诞生 ,使 他 的 设想 成 
为 事实 。 磁 芯 大 战 就 是 汇编 程序 间 的 大 战 ,程序 在 虚拟 机 中 运行 ,并 试图 破坏 其 他 程序 ， 
生存 到 最 后 即 为 胜 者 。 程 序 用 一 种 特殊 的 汇编 语言 (RedCode) 完 成 ,运行 于 叫做 MARS 
(Memory Array RedCode Simulator) 的 虚拟 机 中 。 他 是 3 个 年 轻 人 在 工 余 时 的 产物 。 他 
们 是 麦 泡 莱 、 维 索 斯 基 以 及 英里 斯 。 其 中 英里 斯 就 是 后 来 制造 了 “英里 斯 蠕虫 ”的 罗 特 ， 
英里 斯 的 父亲 。 当 时 三 人 的 年 纪 都 只 有 二 十 多 岁 。 

用 于 磁 芯 大战 的 游戏 有 多 种 ,例如 有 个 叫 候 行者 (Creeper) 的 程序 ,每 一 次 执行 都 会 
自动 生成 一 个 副本 ,很 快 计算 机 中 原 有 资料 就 会 被 这 些 爬 行者 侵蚀 ;侏儒 "(Dwarf) 程 序 
在 记忆 系统 中 行进 ,每 到 第 五 个 “地 址 ”(address) 便 把 那里 所 储存 的 东西 变 为 零 , 这 会 使 
原本 的 程序 严重 破坏 ;最 奇特 的 就 是 一 个 叫 * 印 普 ”(Imp) 的 战争 程序 了 , 它 只 有 一 行 指 
令 , 那 就 是 "MOV 0,1”, 其 中 MOV 是 Move 的 简写 , 即 移动 的 意思 。 它 把 身 处 的 地 址 中 
所 载 的 0 写 ( 移 ) 到 下 一 个 地 址 中 , 当 “ 印 普 " 展 开行 动 之 后 ,计算 机 中 原 有 的 每 一 行 指令 都 
被 改 为 "MOV 0,1”, 换 句 话 说 ,荧光 屏 上 留 下 一 大 堆 “MOV 0,1”。 在 那些 日 子 里 ,计算 机 
都 没有 连 线 ,是 互相 独立 的 ,因此 病毒 冶 疫 很 难 传播 。 如 果 有 某 台 计算 机 受到 “感染 ”, 失 
去 控制 ,工作 人 员 只 需 把 它 关 掉 便 可 。 但 是 当 计 算 机 连接 到 互联 网 逐渐 成 为 社会 结构 的 
一 部 分 之 后 ,一 个 会 自我 复制 的 病毒 程序 便 很 可 能 带 来 无 穷 的 祸害 。 例 如 疏 行 者 程序 就 
能 从 一 台 计算 机 * 疏 ?到 另 一 台 计算 机 中 。 因 此 长 久 以 来 ,懂得 玩 “ 磁 芯 大 战 ? 游 戏 的 计算 
机 工作 者 都 严守 一 项 不 成 文 的 规定 : 不 对 大 众 公开 这 些 程序 的 内 容 。 

第 一 次 关于 计算 机 病毒 的 报道 发 生 在 1981 年 ,在 计算 机 游戏 中 发 现 了 ELK Cloner 病毒 。 

1986 年 ,第 一 个 PC 病毒 Brain Virus 感染 了 Microsoft 的 DOS 操作 系统 ,当时 主流 
的 DOS 系统 和 此 后 的 Windows 系统 成 为 病毒 和 蠕虫 攻击 的 主要 目标 。 

988 年 ,由 Robert Tappan Morris 编写 的 Morris 蠕虫 ,顷刻 之 间 使 6000 多 台 计 算 
机 ( 占 当 时 Internet 上 计算 机 总 数 的 10% 以 上 ) 瘫 疯 , 造 成 了 严重 的 后 果 , 并 因此 引起 了 
世界 范围 内 的 关注 。 

990 年 ,第 一 个 多 态 的 计算 机 病毒 出 现 , 为 了 逃避 反 病 毒 系统 ,这 种 病毒 在 每 次 运行 
时 都 会 变换 自己 的 表现 形式 ,从 而 揭 开 了 多 态 病 毒 代码 的 序幕 。 

992 年 ,病毒 构造 集 (Virus Construction Set,VCS) 发布 ,这 是 一 个 简单 的 工具 包 ， 
用 户 可 以 用 此 工具 自己 定制 恶意 代码 。 

995 年 ,首次 发 现 宏 病 毒 . 宏 病 毒 使 用 Microsoft Office Word 的 宏 语言 实现 感染 
Word 文件 ,此 类 技术 很 快 波及 其 他 程序 中 的 宏 语言 。 

998 年 ,CIH 病毒 造成 数 千 万 台 计算 机 受到 破坏 ,由 于 当时 很 多 计算 机 主板 BIOS 
支持 软件 升级 ,CIH 病毒 可 以 破坏 主板 上 的 BIOS 系统 ,对 硬件 主板 进行 破坏 ,打破 了 人 
们 认为 病毒 只 能 破坏 软件 的 观念 。 
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1999 年 ,Happy 99、Melissa 病毒 大 爆发 , Melissa 病毒 通过 E-mail 附件 快速 传播 而 
使 E-mail 服务 器 和 网 络 负载 过 重 , 它 还 将 敏感 的 文档 在 用 户 不 知情 的 情况 下 按 地 址 短 中 
的 地 址 发 出 。 

2000 年 5 月 爆发 的 * 爱 虫 ? 病 毒 及 其 以 后 出 现 的 50 多 个 变种 病毒 , 仅 一 年 时 间 就 感 
染 了 4000 多 万 台 计算 机 ,造成 了 大 约 87 亿美 元 的 经 济 损失 。 

2001 年 8 月 ,“ 红 色 代码 "蠕虫 利用 Microsoft Web 服务 器 IIS 4.0 或 IIS 5. 0 中 Index 服务 
的 安全 漏洞 ,攻破 目标 机 器 ,并 通过 自动 推送 方式 传播 蠕虫 ,造成 其 在 互联 网 上 大 规模 泛滥 。 

2003 年 ,SQL Slammer 蠕虫 在 10 分 钟 内 导致 Internet 上 90% 的 脆弱 主机 受到 感 
染 。 同 年 8 月,“ 冲击 波 ” 蠕 虫 爆发 ,8 天 内 导致 全 球 计算 机 用 户 损失 高 达 20 亿美 元 以 上 。 

2004 年 至 2006 年 ,“ 振 荡 波 ” 蠕 虫 “ 爱 情 " 后 门 “ 波 特 ” 后 门 等 恶意 代码 利用 电子 邮 
件 和 系统 漏洞 对 网 络 主 机 进行 疯狂 传播 ,给 人 类 社会 造成 了 巨大 的 经 济 损失 。 

2007 年 1 月 “熊猫 烧香 "病毒 爆发 。 该 病毒 不 仅 通过 带 毒 网 站 感染 用 户 ,还 会 通过 
QQ 漏洞 网络 文件 共享 、 默 认 共 享 、 系 统 弱 口令 、U 盘 及 移动 硬盘 等 多 种 途径 传播 ,严重 
的 会 导致 整个 局 域 网 内 的 所 有 计算 机 全 部 中 毒 。2008 年 3 月 “ 磁 碟 机 ”病毒 迅速 传播 ,该 
病毒 主要 通过 U 盘 和 局 域 网 的 ARP 攻击 传播 。 它 会 关闭 一 些 安全 工具 和 杀毒 软件 并 阻 
止 其 运行 ,其 造成 的 危害 和 损失 是 熊猫 烧香 病毒 的 10 倍 。 

2009 年 2 月 “ 昔 牛 "出现 , 它 采 用 劫持 DLL 文件 的 技术 ,在 系统 重 装 后 仍 能 “复活 ”， 
计算 机 重 装 系统 后 仍 不 能 自救 。 

2010 年 2 月 ,“ 极 虎 " 病 毒 是 一 款 集合 了 “ 磁 碟 机 ”“AV 终结 者 “中 华 吸血 鬼 ”“ 猫 
多 ?下载 器 为 一 体 的 混合 病毒 。 由 于 该 病毒 可 利用 IE 极光 0-day 漏洞 进行 传播 ,又 是 虎 
年 的 第 一 个 重大 恶性 病毒 ,因此 得 名 * 极 虎 *。 仅 2 月 7 日 一 天 就 有 超过 10 万 台 计 算 机 感 
染 该 病毒 。 

随 着 移动 互联 网 的 发 展 和 智能 手机 的 普及 ,针对 手机 的 病毒 也 得 到 了 快速 发 展 ,2009 
年 首 个 针对 Symbian 平台 的 移动 僵尸 程序 Symbian Yxes 出 现 。 随 后 ,出 现 了 首 个 针对 
越狱 版 Phone 的 iKee. B 移动 僵尸 程序 。2010 年 , 首 个 针对 Android 系统 的 移动 僵尸 程 
序 Geinimi 出 现 。 

恶意 代码 经 过 三 十 多 年 的 发 展 ,破坏 性 、 种 类 和 感染 性 都 得 到 了 增强 ,特别 僵尸 网 络 、 
木马 威胁 、 高 级 可 持续 威胁 (APT) 非 常 严重 ,攻击 者 非法 牟利 的 目的 更 加 明确 、 行 为 更 加 
器 张 ,黑客 地 下 产业 链 已 形成 。 随 着 计算 机 的 网 络 化 程度 逐步 提高 ,通过 网 络 传播 的 恶意 
代码 对 人 们 日 常生 活 的 影响 越 来 越 大 。 未 来 ,在 利益 驱动 下 ,网 络 安全 事故 将 更 加 频繁 、 
隐蔽 和 复杂 。 目 前 ,恶意 代码 防护 问题 已 成 为 信息 安全 领域 迫在眉睫 的 、 刻 不 容 缓 的 、 需 
要 解决 的 安全 问题 之 一 。 


17.1.2 恶意 代码 的 分 类 


按照 恶意 代码 是 否 需 要 宿主 ,可 将 其 分 为 依附 性 恶意 代码 和 独立 性 恶意 代码 ,按照 恶 
意 代码 能 否 自 我 复制 ,可 分 为 不 感染 的 恶意 代码 和 可 感染 的 恶意 代码 。 主 要 存在 的 恶意 
代码 主要 有 以 下 几 类 
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1. 后 门 


后 门 (backdoor) 或 陷 门 是 进入 系统 或 程序 的 一 个 秘密 人口 , 它 能 够 通过 识别 某 种 特 
定 的 输入 序列 或 特定 账户 ,使 访问 者 绕 过 访问 的 安全 检查 ,直接 获得 访问 权力 ,其 通常 具 
有 高 于 普通 用 户 的 特权 。 按 惯例 ,程序 员 为 了 调试 和 测试 程序 可 合法 地 使 用 后 门 ,但 当 这 
些 后 门 被 用 来 获得 非 授权 访问 时 ,后 门 就 变 成 了 一 种 安全 威胁 。 


2. 逻辑 炸弹 


逻辑 炸弹 (logic bomb) 是 一 段 具 有 破坏 性 的 代码 ,事先 预 置 于 较 大 的 程序 中 ,等 待 某 
扳机 事件 发 生 触发 其 破坏 行为 。 扳 机 事件 可 以 是 特殊 日 期 ,也 可 以 是 指定 事件 。 逻 辑 炸 
弹 往往 被 那些 有 怨恨 的 职员 利用 ,他 们 希望 在 离开 公司 后 ,通过 启动 逻辑 炸弹 来 损害 公司 
利益 。 一 旦 逻辑 炸弹 被 触发 ,就 会 造成 数据 或 文件 的 改变 或 删除 .计算 机 死机 等 破坏 性 
事件 。 


3. 特洛伊 木马 


在 计算 机 领域 ,特洛伊 木马 (Trojan horse) 是 一 段 吸引 人 而 不 为 人 警惕 的 程序 ,但 它 
们 可 以 执行 某 些 秘密 任务 。 大 多 数 安全 专家 统一 认可 的 定义 是 :“ 特 洛 伊 木马 是 一 段 能 
实现 有 用 的 或 必需 的 功能 的 程序 ,但 同时 还 完成 一 些 不 为 人 知 的 额外 功能 ,这 些 额 外 功能 
往往 是 有 害 的 ”。 

特洛伊 木马 一 般 没有 自我 复制 的 机 制 , 所 以 不 会 自动 复制 自身 。 电 子 新 闻 组 、 电 子 邮 
件 和 恶意 网 站 是 特洛伊 木马 的 主要 传播 途径 ,特洛伊 木马 的 欺骗 性 是 其 得 以 传播 的 根本 
原因 。 特 洛 伊 木马 经 常 装 成 游戏 软件 .搞笑 程序 .屏保 ,非法 软件 和 色情 资料 等 ,上 传 到 电 
子 新 闻 组 或 通过 电子 邮件 直接 传播 ,很 容易 被 不 知情 的 用 户 接收 和 继续 传播 。 

完整 的 木马 程序 一 般 由 两 部 分 组 成 : 一 个 是 服务 器 程序 , 另 一 个 是 控制 器 程序 。 通 
常 所 说 的 “中 了 木马 ?就 是 指 被 安装 了 木马 的 服务 器 程序 。 若 计算 机 被 安装 了 服务 器 程 
序 , 则 拥有 控制 器 程序 的 人 就 可 以 通过 网 络 控制 该 计算 机 ,计算 机 上 的 各 种 文件 .程序 ,以 
及 计算 机 上 使 用 的 账号 、 密 码 无 安全 可 言 了 。 木 马 程序 不 能 算是 一 种 病毒 ,但 越 来 越 多 的 
杀毒 软件 也 可 以 查 杀 木马 ,所 以 也 有 不 少 人 称 木马 程序 为 黑客 病毒 。 


4. 病毒 


计算 机 病毒 (virus) 是 一 段 附着 在 其 他 程序 上 的 可 以 进行 自我 繁殖 的 代码 。 由 此 可 
见 , 计 算 机 病毒 既 有 依附 性 ,又 有 感染 性 。 感 染 性 是 计算 机 病毒 的 最 重要 的 特征 , 即 自 我 
复制 性 。 计 算 机 病毒 在 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 被 明确 定义 ， 
病毒 指 “ 编 制 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ,影响 计算 机 使 用 并 
且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 它 能 通过 某 种 途径 潜伏 在 计算 机 的 
存储 介质 (或 程序 ) 里 , 当 达 到 某 种 条 件 时 即 被 激活 ,通过 修改 其 他 程序 的 方法 将 自己 的 精 
确 副 本 或 者 可 能 演化 的 形式 放 入 其 他 程序 中 ,从 而 感染 其 他 程序 ,对 计算 机 资源 进行 破 
坏 。 当 前 绝 大 多 数 恶 意 代 码 都 或 多 或 少 地 具有 计算 机 病毒 的 一 些 特征 。 


290| 


第 17 章 


5. 蠕虫 


计算 机 蠕虫 (worm) 是 一 种 具有 自我 复制 和 传播 能 力 、. 可 独立 自动 运行 的 恶意 程序 。 
它 综合 黑客 技术 和 计算 机 病毒 技术 ,通过 利用 系统 中 存在 漏洞 的 主机 ,将 蠕虫 自身 从 一 个 
节点 传播 到 另 一 个 节点 。 它 是 利用 网 络 进行 复制 和 传播 ,传染 途径 是 通过 网 络 和 电子 邮 
件 。 最 初 的 蠕虫 病毒 定义 是 因为 在 DOS 环境 下 ,病毒 发 作 时 会 在 屏幕 上 出 现 一 条 类 似 虫 
子 的 东西 ,胡乱 吞 吃 屏幕 上 的 字母 并 将 其 改 形 。 蠕 虫 病毒 是 自 包含 的 程序 (或 是 一 套 程 
序 ), 它 能 将 自身 功能 的 副本 或 自身 (蠕虫 病毒 ) 的 某 些 部 分 传播 到 其 他 的 计算 机 系统 中 
(通常 是 经 过 网 络 连 接 )。 请 注意 ,与 一 般 病毒 不 同 ,蠕虫 不 需要 将 其 自身 附着 到 宿主 
程序 。 

例如 近年 来 危害 很 大 的 “ 尼 姆 亚 ” 病 毒 就 是 蠕虫 病毒 的 一 种 ,2007 年 1 月 流行 的 “能 
猫 烧 香 ” 以 及 其 变种 也 是 蠕虫 病毒 。 这 一 病毒 利用 了 Windows 操作 系统 的 漏洞 ,计算 机 
感染 这 一 病毒 后 ,会 不 断 自动 拨号 上 网 ,并 利用 文件 中 的 地 址 信息 或 者 网 络 共享 进行 传 
播 ,最 终 破 坏 用 户 的 大 部 分 重要 数据 。 


17.1.3 恶意 代码 的 危害 及 传播 趋势 


随 着 计算 机 技术 的 不 断 发 展 , 恶 意 代 码 的 发 展 也 逐步 强大 。 首 先 ,恶意 代码 的 危害 性 
越 来 越 大 ,隐蔽 性 却 越 来 越 强 ,并 且 逐 渐 拥有 抗 检测 能 力 。 其 次 ,恶意 代码 的 分 类 界限 越 
来 越 模糊 ,很 多 恶意 代码 同时 具有 病毒 .木马 和 蠕虫 的 特征 。 再 次 ,恶意 代码 的 传播 和 植 
入 能 力 由 被 动向 主动 转变 ,由 本 地 主机 向 网 络 发 展 。 最 后 ,在 攻击 目标 方面 ,恶意 代码 已 
经 由 单机 环境 向 网 络 环境 转变 ,并 出 现 了 手机 病毒 。 

随 着 智能 手机 的 不 断 普及 ,手机 病毒 已 成 为 病毒 发 展 的 下 一 个 目标 。 手 机 病毒 是 一 
种 破坏 程序 ,和 计算 机 病毒 一 样 具有 传染 性 和 破坏 性 。 它 可 以 利用 WiFi、3G/4G 蜂窝 网 
络 、 短 信 、 彩 信 、 电 子 邮 件 、 蓝 牙 等 方式 进行 传播 .最终 可 能 导致 用 户 手 机 死机 、 关 机 、 手 机 
资料 被 删 、 外 泄 、 向 外 发 送 垃圾 邮件 及 拨打 电话 等 ,甚至 还 会 损毁 SIM 卡 、 芯 片 等 硬件 。 

恶意 代码 的 危害 非常 大 并 且 广 泛 , 它 可 以 删除 配置 文件 ,致使 机 器 瘫痪 ;感染 主机 ,并 
蔓延 到 其 他 主机 ;监视 按键 ,使 攻击 者 可 以 截获 输入 的 所 有 内 容 ;收集 相 关 信 息 , 包 括 上 网 
习惯 .访问 站 点 .访问 时 间 等 ;截获 视频 流 、 音 频 流 及 窃取 私人 和 财政 方面 的 敏感 文件 等 
还 可 以 把 某 台 主机 作为 下 一 步 攻 击 的 跳板 。 


17.2 计算 机 病毒 


从 概念 上 讲 , 计 算 机 病毒 只 是 恶意 代码 的 一 种 。 实 际 上 ,目前 发 现 的 恶意 代码 几乎 都 
是 混合 型 的 计算 机 病毒 , 即 除了 具有 纯粹 意义 上 的 病毒 特征 外 ,还 带 有 其 他 类 型 恶意 代码 
的 特征 .“ 病 毒 "一 词 非常 形象 且 很 具 感 染 力 , 因 此 媒体 .杂志 ,包括 很 多 专业 文章 和 书籍 
一 般 用 “计算 机 病毒 "来 指 学 术 上 的 恶意 代码 。 在 这 个 意义 上 讲 ,“ 计 算 机 病毒 ”一 词 就 不 
仅 限 于 纯粹 的 计算 机 病毒 ,而 是 指 混合 型 的 计算 机 病毒 。 
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17.2.1 计算 机 病毒 的 概念 


美国 计算 机 研究 专家 最 早 提出 了 * 计 算 机 病毒 ”的 概念 : 计算 机 病毒 是 一 段 人 为 编制 
的 计算 机 程序 代码 。 这 段 代码 一 旦 进入 计算 机 并 得 以 执行 , 它 就 会 搜寻 其 他 符合 其 传染 
条 件 的 程序 或 存储 介质 ,确定 目标 后 再 将 自身 代码 插入 其 中 ,达到 自我 繁殖 的 目的 。 其 特 
性 在 很 多 方面 与 生物 病毒 有 着 极其 相似 的 地 方 。 

1994 年 2 月 28 日 ,我 国 出 台 的 (中 华人 民 共 和 国 计 算 机 安全 保护 条 例 》 对 病毒 的 定 
义 如 下 :“ 计 算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 、 破 坏 数据 .影响 计算 机 使 用 ， 
并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 这 只 是 计算 机 病毒 的 狭义 定义 ,从 广义 
而 言 ,计算 机 病毒 是 指 驻 留 于 计算 机 内 部 ( 指 掌握 着 系统 的 控制 权 ) ,对 系统 原 有 功能 进行 
非 正确 或 用 户 未 预计 修改 的 程序 。 常 见 的 广义 上 的 计算 机 病毒 包括 蠕虫 病毒 .特洛伊 森 
马 和 逻辑 炸弹 等 。 


17.2.2 计算 机 病毒 的 结构 


计算 机 病毒 主要 由 潜伏 机 制 、 传 染 机 制 和 表现 机 制 构成 。 若 某 程 序 被 定义 为 计算 机 
病毒 , 它 只 有 传染 机 制 是 强制 性 的 ,潜伏 机 制 和 表现 机 制 是 非 强 制 性 的 。 


1. 潜伏 机 制 


潜伏 机 制 的 功能 包括 初始 化 ,隐藏 和 捕 提 。 潜 伏 机 制 模块 随 着 感染 的 宿主 程序 的 执 
行 而 进入 内 存 。 首 先 , 初 始 化 其 运行 环境 使 病毒 相对 独立 于 宿主 程序 ,为 传染 机 制 做 好 准 
备 。 然 后 ,利用 各 种 可 能 的 隐 茂 方式, 躲避 各 种 检测 ,欺骗 系统 ,将 自己 隐 项 起 来 。 最 后 ， 
不 停 地 捕 提 感染 目标 交 给 传染 机 制 ,不 停 地 捕 提 触发 条 件 交 给 表现 机 制 。 


2. 传染 机 制 


传染 机 制 的 功能 包括 判断 和 感染 。 传 染 机 制 先 是 判断 候选 感染 目标 是 否 已 被 感染 ， 
可 以 通过 感染 标记 来 判断 候选 感染 目标 是 否 已 被 感染 。 感 染 标 记 是 计算 机 系统 可 以 识别 
的 特定 字符 或 字符 串 。 一 旦 发 现 作为 候选 感染 目标 的 宿主 程序 中 没有 感染 标记 ,就 对 其 
进行 感染 , 即 被 感染 代码 和 感染 标记 放 入 宿主 程序 之 中 。 早 期 的 有 些 病毒 是 重复 感染 型 
的 , 它 不 做 感染 检查 ,也 没有 感染 标记 ,因此 这 种 病毒 可 以 再 次 感染 自身 。 

一 个 非常 典型 的 病毒 代码 结构 如 图 17. 1 所 示 ,病毒 代码 V 通常 被 放 到 被 感染 的 程 
序 的 最 前 面 , 该 程序 在 被 调用 时 ,总 是 先 执行 这 段 病毒 代码 V。 受 感染 的 程序 与 病毒 代码 
工作 原理 如 下 : 第 2 行 代码 是 跳 转 到 主要 的 病毒 程序 。 第 3 行 是 一 个 特殊 的 标记 ,病毒 
使 用 该 标记 1234567 以 确定 是 否 已 经 感染 了 这 个 程序 。 当 程序 调用 ,控制 立即 转移 到 主 
要 的 病毒 程序 。 病 毒 程序 首先 随机 寻找 一 个 可 执行 文件 ,看 前 面 有 没有 特殊 标记 
1234567, 如 果 有 ,说 明 已 经 被 感染 , 则 重复 执行 查找 ,一 直到 发 现 一 个 未 感染 的 可 执行 文 
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件 ,并 使 其 感染 。 接 着 ,病毒 可 能 会 执行 一 些 动作 ,通常 会 损害 到 系统 。 每 次 调用 程序 可 
以 执行 此 操作 ,或 者 它 可 能 是 一 个 逻辑 炸弹 ,只 有 在 一 定 条 件 下 触发 。 最 后 ,病毒 将 跳 转 
回 到 原来 的 程序 。 如 果 病 毒 执行 效率 较 高 ,用 户 不 太 可 能 发 现 已 感染 和 未 感染 程序 的 
区 别 。 


progran V := 


{goto main; 
1234567; 


andom-executable-file; 
ED a = 1234567) 
then goto 
a 


subroutine do-damage 
i 和 to be done} 


Subroutine trigger-pulled 
a 


main: main-program := 
{infect-executable; 
if De then do-damage; 
goto next;} 


图 17.1 典型 的 病毒 代码 结构 


3. 表现 机 制 


表现 机 制 的 功能 包括 判断 和 表现 。 表 现 机 制 首先 对 触发 条 件 进行 判断 ,然后 根据 不 
同 的 条 件 决定 什么 时 候 表 现 、 如 何 表现 。 表 现 内 容 多 种 多 样 ,然而 不 管 是 炫耀 玩笑 、. 恶 作 
剧 , 还 是 故意 破坏 ,或 轻 或 重 都 具有 破坏 性 。 表 现 机 制 反 映 了 病毒 设计 者 的 意图 ,是 病毒 
间 差 异 最 大 的 部 分 。 潜 伏 机 制 和 传染 机 制 是 为 表现 机 制服 务 的 。 

随 着 计算 机 病毒 的 发 展 ,纯粹 用 于 表现 病毒 制造 者 计算 机 水 平 的 病毒 越 来 越 少 ,现在 
的 计算 机 病毒 受到 强大 的 利益 驱使 ,被 用 于 非法 牟利 ,如 控制 他 人 计算 机 资 取 密码 、 发 送 
垃圾 邮件 等 ,国内 外 已 形成 了 相应 的 黑客 产业 链 。 从 统计 数据 看 ,黑客 产业 链 近 来 进一步 
发 展 和 完善 ,整个 行业 已 形成 一 个 完整 的 循环 圈 , 大 量 的 人 才 、 技 术 和 资金 进入 到 这 个 黑 
色 行业 中 。 如 今 , 这 条 “黑客 产业 链 "每 年 的 整体 利润 已 高 达 数 亿 元 。 据 国家 计算 机 网 络 
应 急 技 术 处 理 协调 中 心 估计 ,在 2009 年 这 条 “黑色 产业 链 ” 的 年 产值 已 超过 2. 38 亿 元 人 
民 币 ,造成 的 损失 则 超过 76 亿 元 人 民 币 ,这 些 数字 仍 在 增长 。 


17.2.3 计算 机 病毒 的 特点 


1. 传染 性 


传染 性 指 病毒 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 。 病 毒 程 
序 一 旦 进入 计算 机 并 得 以 执行 ,就 会 寻找 符合 感染 条 件 的 目标 ,将 其 感染 ,达到 自我 繁殖 
目的 ;所 谓 “ 感 染 ”, 就 是 病毒 将 自身 嵌入 到 合法 程序 的 指令 序列 中 ,致使 执行 合法 程序 的 
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操作 会 招致 病毒 程序 的 共同 执行 或 以 病毒 程序 的 执行 取而代之 。 因 此 ,只 要 一 台 计 算 机 
染 上 病毒 ,如 不 及 时 处 理 , 那 么 病毒 会 在 这 台 机 器 上 迅速 扩散 ,其 中 的 大 量 文件 (一 般 是 可 
执行 文件 ) 就 会 被 感染 。 而 被 感染 的 文件 又 成 了 新 的 传染 源 ,再 与 其 他 机 器 进行 数据 交换 
或 通过 网 络 接触 ,病毒 会 继续 通过 各 种 可 能 的 渠道 ,如 可 移动 存储 介质 (如 U 盘 ) ,计算 机 
网 络 去 传染 其 他 计算 机 。 传 染 性 是 病毒 的 基本 特征 。 


2. 隐蔽 性 


病毒 一 般 是 具有 很 高 编程 技巧 的 ,短小 精 悍 的 一 段 代码 , 躲 在 合法 程序 中 。 如 果 不 经 
过 代码 分 析 ,病毒 程序 与 正常 程序 是 不 容易 区 别 开 来 的 ,这 就 是 病毒 程序 的 隐蔽 性 。 在 没 
有 防护 措施 的 情况 下 ,病毒 程序 取得 系统 控制 权 后 ,可 以 在 很 短 的 时 间 里 传染 大 量 其 他 程 
序 , 而 且 计算 机 系统 通常 仍 能 正常 运行 ,用 户 不 会 感到 任何 异常 ,好 像 在 计算 机 内 不 曾 发 
生 过 什么 。 这 就 是 病毒 传染 的 隐蔽 性 。 


3. 潜伏 性 


病毒 进入 系统 之 后 一 般 不 会 马上 发 作 , 可 以 在 几 周 或 者 几 个 月 甚至 几 年 内 隐藏 在 合 
法 程序 中 ,默默 地 进行 传染 扩散 而 不 被 人 发 现 ,潜伏 性 越 好 ,在 系统 中 的 存在 时 间 就 会 越 
长 ,传染 范围 也 就 会 越 大 。 病 毒 的 内 部 有 一 种 触发 机 制 , 不 满足 触发 条 件 时 ,病毒 除了 传 
染 外 不 做 什么 破坏 。 一 旦 触发 条 件 得 到 满足 ,病毒 便 开始 表现 ,有 的 只 是 在 屏幕 上 显示 信 
息 、 图 形 或 特殊 标识 ,有 的 则 执行 破坏 系统 的 操作 ,如 格式 化 磁盘 、 删 除 文件 .加 密 数 据 、 封 
锁 键盘 毁坏 系统 等 。 触 发 条 件 可 能 是 预定 时 间或 日 期 特定 数据 出 现 、 特 定 事件 发 生 等 。 


4. 多 态 性 


病毒 试图 在 每 一 次 感染 时 改变 它 的 形态 ,使 对 它 的 检测 变 得 更 困难 。 一 个 多 态 病毒 
还 是 原来 的 病毒 ,但 不 能 通过 扫描 特征 字符 串 来 发 现 。 病 毒 代码 的 主要 部 分 相同 ,但 表达 
方式 发 生 了 变化 , 即 同一 程序 由 不 同 字 节 序列 表示 。 


5. 破坏 性 


病毒 一 旦 被 触发 而 发 作 就 会 造成 系统 或 数据 的 损伤 甚至 毁灭 。 病 毒 都 是 可 执行 程 
序 ,而 且 又 必然 要 运行 ,因此 所 有 的 病毒 都 会 降低 计算 机 系统 的 工作 效率 ,占用 系统 资源 ， 
其 侵占 程度 取决 于 病毒 程序 自身 。 病 毒 的 破坏 程度 主要 取决 于 病毒 设计 者 的 目的 ,如 果 
病毒 设计 者 的 目的 在 于 彻底 破坏 系统 及 其 数据 ,那么 这 种 病毒 对 计算 机 系统 进行 攻击 所 
造成 的 后 果 是 难以 想象 的 , 它 可 以 毁 掉 系统 的 部 分 或 全 部 数据 并 使 之 无 法 恢复 。 虽 然 不 
是 所 有 的 病毒 都 对 系统 产生 极其 恶劣 的 破坏 作用 ,但 有 时 几 种 本 没有 多 大 破坏 作用 的 病 
毒 交叉 感染 ,也 会 导致 系统 崩溃 等 重大 后 果 。 


17.2.4 计算 机 病毒 的 分 类 


按照 计算 机 病毒 的 特点 ,计算 机 病毒 的 分 类 方法 有 许多 种 。 因 此 ,同一 种 病毒 可 能 有 
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多 种 不 同 的 分 类 。 
1. 按照 计算 机 病毒 攻击 的 操作 系统 分 为 以 下 几 种 


(1) 攻击 DOS 系统 的 病毒 。 最 早 大 规模 出 现 的 病毒 。 

(2) 攻击 Windows 系统 的 病毒 。 由 于 Windows 操作 系统 是 当前 主流 的 操作 系统 ， 
因此 ,攻击 Windows 操作 系统 攻击 的 病毒 是 当前 的 主流 病毒 。 

(3) 攻击 UNIX 系统 的 病毒 。 当 前 许多 大 型 机 一 般 采用 UNIX 作为 其 主要 的 操作 系 
统 , 所 以 UNIX 病毒 的 出 现 ,对 人 类 的 信息 处 理 也 是 一 个 严重 的 威胁 。 

(4) 攻击 Linux 系统 的 病毒 。 在 Linux 系统 里 传播 的 病毒 不 多 ,从 1996 年 至 今 ,新 
的 Linux 病毒 届 指 可 数 , 出 现 这 种 情况 ,除了 其 自身 设计 优秀 外 ,Linux 用 户 较 少 也 是 其 
较 少 受到 攻击 的 原因 之 一 。 

(5) 攻击 Mactonish 系统 的 病毒 。Mactonish 是 苹果 计算 机 使 用 的 操作 系统 , 随 着 近 
年 来 Mac 计算 机 的 热卖 ,针对 Mactonish 的 病毒 也 逐年 增加 ,特别 是 在 美国 ,Mac 的 用 户 
很 多 ,因此 针对 美国 用 户 的 Mactonish 病毒 也 具有 很 大 的 威胁 。 


2. 按 寄生 方式 分 为 引导 型 病毒 .文件 型 病毒 和 混合 型 病毒 


(1) 引导 型 病毒 是 寄生 在 磁盘 引导 区 的 计算 机 病毒 。 由 于 系统 引导 时 不 对 主 引导 区 
的 内 容 正 确 与 否 进 行 判别 ,此 类 病毒 在 引导 系统 启动 的 过 程 中 入 侵 系 统 , 驻 留 内 存 , 监 视 
系统 运行 ,伺机 传染 和 破坏 ,如 大 麻 病 毒 、2708 病毒 、 火 炬 病毒 等 。 

(2) 文件 型 病毒 是 指 能 够 寄生 在 文件 中 的 计算 机 病毒 。 这 类 病毒 程序 感染 可 执行 文 
件 或 数据 文件 ,如 1575/1591 病毒 .848 病毒 感染 . com 和 . exe 等 可 执行 文件 , Macro/ 
Concept、Macro/ Atoms 等 宏 病毒 感染 . doc 文件 。 

(3) 混合 型 病毒 是 指 具 有 引导 型 病毒 和 文件 型 病毒 寄生 方式 的 计算 机 病毒 。 这 种 病 
毒 扩大 了 病毒 程序 的 传染 途径 , 它 既 感染 磁盘 的 引导 记录 ,又 感染 可 执行 文件 。 当 染 有 此 
种 病毒 的 磁盘 用 于 引导 系统 或 调用 执行 染 毒 文件 时 ,病毒 都 会 被 激活 。 因 此 在 检测 ,清除 
混合 型 病毒 时 必须 全 面 彻底 地 根除 。 如 果 只 发 现 该 病毒 的 一 个 特性 ,把 它 只 当 作 引导 型 
或 文件 型 病毒 进行 清除 ,虽然 好 像 是 清除 了 它 , 但 还 留 有 隐患 ,这 种 经 过 消毒 后 的 “洁净 ” 
系统 更 富有 攻击 性 。 这 种 病毒 有 Flip 病毒 、 新 世纪 病毒 .One-half 病毒 等 。 


3. 按 破坏 性 分 为 良性 病毒 和 恶性 病毒 


(1) 良性 病毒 是 指 那些 只 是 为 了 表现 自身 ,并 不 彻底 破坏 系统 和 数据 ,但 会 大 量 占用 
时 间 ,增加 系统 开销 ,降低 系统 工作 效率 的 一 类 计算 机 病毒 。 这 种 病毒 多 数 是 恶作剧 者 的 
产物 ,它们 的 目的 不 是 为 了 破坏 系统 和 数据 ,而 是 为 了 让 使 用 染 有 病毒 的 计算 机 用 户 通过 
显示 器 或 扬声器 看 到 或 听 到 病毒 设计 者 的 编程 技术 。 这 类 病毒 有 小 球 病毒 、1575/1591 
病毒 救护 车 病毒 , 扬 基 病 毒 、Dabi 病毒 等 。 还 有 一 些 人 利用 病毒 的 这 些 特点 宣传 自己 的 
政治 观点 和 主张 ,也 有 一 些 病毒 设计 者 在 其 编制 的 病毒 发 作 时 进行 人 身 攻击 。 

(2) 恶性 病毒 是 指 那些 一 旦 发 作 就 会 破坏 系统 或 数据 ,造成 计算 机 系统 瘫痪 的 一 类 
计算 机 病毒 。 这 类 病毒 有 CIH 黑色 星期 五 .火炬 病毒 . 米 开 朗 基 罗 病 毒 等 。 这 种 病毒 危 
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害 性 极 大 ,有 些 病毒 发 作 后 可 以 给 用 户 造成 不 可 挽回 的 损失 。 
17.2.5 计算 机 病毒 的 防范 


客观 地 说 ,病毒 防范 并 没有 一 种 万 全 之 策 ,在 这 个 信息 广泛 流通 的 世界 里 ,无 法 提出 
一 套 方案 来 保证 在 与 别人 充分 共享 信息 的 情况 下 ,计算 机 绝对 不 会 被 病毒 感染 。 人 们 能 
做 的 就 是 在 平时 的 使 用 过 程 中 尽量 减少 病毒 感染 的 机 会 。 

1. 养 成 良好 的 安全 习惯 

养 成 良好 的 安全 习惯 。 首 先 , 做 到 着 慎 进 行 网 络 上 的 软件 下 载 活 动 ,程序 的 下 载 应 该 
选择 可 靠 的 网 站 。 其 次 ,要 警惕 奇怪 的 电子 邮件 及 附件 ,不 要 随便 打开 来 历 不 明 的 邮件 及 
附件 ,如 果 附 件 是 程序 更 应 直接 删除 。 最 后 ,要 关闭 或 删除 系统 中 不 需要 的 服务 ,许多 操 
作 系 统 会 安装 一 些 辅助 服务 。 如 FTP 客户 端 , 这 些 服务 为 攻击 提供 了 方便 ,而 对 用 户 又 
没有 太 大 用 处 ,如 果 删 除 它 们 就 会 减少 被 攻击 的 可 能 性 。 


2. 安装 防火 墙 和 专业 的 杀毒 软件 进行 全 面 监控 


安装 较 新 版 本 的 防火 墙 , 并 随 系统 启动 一 起 加 载 , 即 可 防止 多 数 黑客 的 入 侵 。 现 在 的 
操作 系统 基本 上 都 自 带 防火 墙 ,建议 用 户 打 开 此 项 服务 。 同 时 使 用 专业 的 杀毒 软件 定期 
查 杀 计算 机 ,将 杀毒 软件 的 各 种 防 病毒 监控 始终 打开 (如 邮件 监控 和 网 页 监控 等 ) 可 以 很 
好 地 保障 计算 机 的 安全 。 及 时 更 新 杀毒 软件 的 病毒 库 , 现 在 病毒 库 升 级 频繁 ,用 户 应 经 党 
上 网 更 新 。 现 在 的 杀毒 软件 还 提供 了 基于 云 计 算 技 术 的 杀毒 服务 , 当 用 户 连 接 在 互联 网 
时 ,可 以 使 用 强大 的 云端 对 计算 机 进行 病毒 扫描 。 


3. 经 常 升级 操作 系统 的 安全 补丁 


据 统计 ,有 80% 的 网 络 病毒 是 通过 系统 安全 漏洞 进行 传播 的 , 像 “ 红 色 代码 ”“ 冲 击 
波 ” 等 病毒 ,所 以 定期 进行 操作 系统 安全 补丁 的 升级 可 以 防 患 于 未 然 。 


4. 迅速 隔离 受 感染 的 计算 机 


当 发 现 计算 机 病毒 或 异常 时 应 立即 中 断 网 络 ,然后 尽快 采取 有 效 的 查 杀 病毒 措施 ,以 
防止 计算 机 受到 更 多 的 感染 ,也 防止 计算 机 感染 其 他 更 多 的 计算 机 。 


5. 及 时 备份 计算 机 中 有 价值 的 信息 


如 果 计 算 机 被 病毒 感染 了 ,最 后 的 希望 就 是 系统 里 的 重要 信息 最 好 不 要 丢失 ,因此 需 
要 做 的 就 是 在 计算 机 没有 被 病毒 感染 之 前 做 好 重要 信息 的 备份 工作 。 


17.3 ”特洛伊 木马 
17.3.1 特洛伊 木马 概述 


特洛伊 木马 的 故事 来 自古 希腊 传说 ,特洛伊 王子 帕 里 斯 来 到 希腊 斯 巴 达 王 麦 尼 劳 斯 
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宫 做 客 ,受到 了 麦 尼 劳 斯 的 盛情 款待 ,但 是 , 帕 里 斯 却 拐 走 了 麦 尼 劳 斯 的 妻子 。 麦 尼 劳 斯 
和 他 的 兄弟 决定 讨伐 特洛伊 ,由 于 特洛伊 城池 牢固 , 易 守 难 攻 , 攻 战 10 年 未 能 如 愿 。 最 后 
英雄 奥 德 修 斯 献计 ,让 迈 锡 尼 士兵 烧毁 营 帐 , 登 上 战 船 离开 ,造成 撤退 回国 的 假象 ,并 故意 
在 城 外 留 下 一 具 巨 大 的 木马 ,特洛伊 人 把 木马 当 作 战胜 品 拖 进 城内 ,当晚 正当 特洛伊 人 醛 
歌 畅饮 欢 庆 胜利 的 时 候 , 藏 在 木马 中 的 迈 锡 尼 士 兵 悄悄 溜 出 ,打开 城 门 , 放 进 早已 埋伏 在 
城 外 的 希腊 军队 ,结果 一 夜 之 间 特 洛 伊 化 为 废墟。 

在 信息 安全 领域 ,特洛伊 木马 是 一 种 恶意 代码 ,也 称 为 木马 , 指 那些 表面 上 是 有 用 的 
或 必需 的 ,而 实际 目的 却 是 完成 一 些 不 为 人 知 的 功能 ,危害 计算 机 安全 并 导致 严重 破坏 的 
计算 机 程序 ,具有 隐蔽 性 和 非 授 权 性 的 特点 ,因此 和 和 希腊 传说 的 特洛伊 木马 很 相似 。 其 
中 ,有 用 的 或 必需 的 功能 的 程序 ?是 诱饵 六 不 为 人 知 的 功能 "定义 了 其 欺骗 性 六 往往 是 有 
害 的 ?定义 了 其 恶意 性 ,其 恶意 性 包括 试图 访问 未 授权 资源 .试图 阻止 正常 访问 、 试 图 更 改 
或 破坏 数据 和 系统 。 

木马 之 所 以 泛滥 成 灾 ,主要 有 三 方面 原因 : 一 是 经 济 利益 驱使 ,黑客 编写 一 个 木马 程 
序 非法 牟利 十 几 万 元 的 事情 并 不 少见 ;二 是 木马 程序 很 容易 改写 更 新 ,而 杀毒 软件 采用 的 
传统 的 特征 码 查 毒 属 于 静态 识别 技术 ,对 于 木马 程序 的 不 断 更 新 其 适应 性 不 强 ; 三 是 “ 木 
马 技术 ”具有 不 可 判定 性 , 它 经 常 伪装 成 正常 程序 进入 用 户 计算 机 搞 破坏 或 者 盗 取信 息 ， 
技术 界定 难度 较 高 。 

据 2013 年 第 二 季度 360 互联 网 安全 中 心 发 布 的 报告 显示 ,二 季度 国内 新 出 现 木 马 病 
毒 5.27 亿 个 ,1.57 亿 网 民 遭 遇 攻 击 , 约 占 国内 计算 机 用 户 数量 的 三 成 , 较 一 季度 环比 增 
长 了 32.4%, 呈 快速 增长 态势 ,在 新 出 现 的 木马 病毒 中 ,广告 型 木马 和 盗号 木马 是 最 多 的 
恶意 程序 。 报 告 还 指出 ,目前 超过 90% 的 盗号 木马 以 游戏 账号 为 目标 ,DNF 等 热门 大 型 
网 游 是 木马 重 灾区 ,游戏 外 挂 则 是 盗号 木马 的 主要 载体 。 随 着 暑期 到 来 ,游戏 玩家 活跃 度 
提升 ,盗号 木马 的 数量 很 可 能 将 进一步 增长 。 令 人 吃惊 的 是 ,计算 机 水 平 相对 更 高 的 大 学 
生 群 体 反 而 更 容易 中 毒 。 在 教育 网 检测 木马 病毒 的 统计 中 ,首都 师范 大 学 、 屋 南大 学 、 华 
南 农业 大 学 .黑龙 江 大 学 ,北京 科技 大 学 、 西 华 大 学 .重庆 工学 院 、 郑 州 大 学 .北方 工 业 大 
学 ,北京 联合 大 学 名 列 上 网 最 危险 的 十 所 高 校 ,风险 人 群 比例 普遍 超过 40%。 清 华 、 北 
大 、 人 大 等 名 校 上 网 环境 则 相对 “干净 ”, 风 险 人 群 比例 只 有 20% 左 右 。 一 是 说 明 大 学 生 
玩 网 游 的 人 数 比较 多 ,二 是 说 明 大 学 生 的 计算 机 水 平 相对 较 高 ,但 信息 安全 观念 还 比较 淡 
薄 ,没有 有 效 地 对 个 人 信息 进行 安全 保护 。 


17.3.2 木马 的 结构 和 原理 


木马 程序 一 般 包 括 控制 端 和 服务 端 两 部 分 ,控制 端 程序 用 于 攻击 者 远程 控制 木马 , 服 
务 器 端 程序 即 木马 程序 ,攻击 者 把 木马 的 服务 器 端 程序 植 人 受害 计算 机 中 ,进而 通过 木马 
攻击 受 控 的 计算 机 系统 。 

进行 攻击 时 ,第 一 步 要 进行 特洛伊 木马 的 植 入 ,这 是 攻击 目标 最 关键 的 一 步 ,也 是 后 
续 攻击 的 基础 。 特 洛 伊 木马 的 植 入 方法 可 以 分 为 两 大 类 : 被 动 植 人 和 主动 植 信 。 被 动 植 
人 是 指 通过 人 工 干预 的 方式 将 木马 程序 安装 到 目标 系统 中 , 植 和 过程 必 须 依赖 于 受害 用 
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户 的 手工 操作 ,被 动 植 人 主要 通过 社会 工程 学 的 方法 将 木马 程序 伪装 成 合法 程序 ,以 达到 
降低 受害 用 户 警 觉 性 ,诱骗 用 户 的 目的 。 常 用 的 方法 有 文件 拥 绑 法 .邮件 附件 和 Web 网 
页 挂 马 。 主 动 植 入 是 指 主动 攻击 方法 ,通过 研究 目标 系统 的 脆弱 性 ,利用 其 漏洞 将 木马 程 
序 通过 程序 自动 安装 到 目标 系统 中 , 植 入 过 程 无 须 受 害 用 户 的 操作 。 如 “红色 代码 "就 是 利 
用 IIS Server 上 Indexing Service 的 缓冲 区 溢出 漏洞 完成 木马 植 信 。 无 论 采用 哪 种 方式 , 植 
入 木马 需要 获得 计算 机 管理 员 权 限 进 行 木马 程序 的 安装 ,所 以 用 户 提 高 防范 意识 ,不 随便 安 
装 可 疑 的 应 用 程序 ,及 时 给 操作 系统 和 应 用 程序 打上 补丁 ,可 以 有 效 的 防止 木马 的 植 入。 

特洛伊 木马 自 启动 是 指 目标 主机 自动 加 载运 行 木马 程序 ,而 不 被 用 户 发 现 。 当 前 , 特 
洛 伊 木 马 自 启动 一 般 将 木马 程序 放 在 系统 的 启动 目录 中 。 在 系统 中 ,木马 的 自 启动 设置 
在 系统 配置 文件 中 ,如 win. ini、system. ini 等 ,或 修改 注册 表 设置 实现 木马 的 自动 启动 ， 
或 把 木马 注册 为 系统 服务 ,或 把 木马 注入 系统 服务 程序 中 。 在 UNIX 系统 中 ,木马 的 自 
启动 设置 在 init、inted、cron 等 文件 或 目录 中 。 


17.3.3 木马 隐藏 技术 


木马 采用 的 隐藏 技术 包括 启动 隐藏 .进程 隐藏 .文件 /目录 隐藏 .内 核 模 块 隐 藏 .原始 
分 发 隐藏 和 通信 隐藏 等 。 

1. 启动 隐藏 

启动 隐藏 是 指 目标 机 自动 加 载运 行 木 马 程序 ,而 不 被 用 户 发 现 。 在 Windows 系统 
中 ,比较 典型 的 木马 启动 方式 有 修改 系统 “启动 ”项 ,修改 注册 表 的 相关 键 值 .插入 常见 默 
认 启 动 服务 ,修改 系统 配置 文件 (如 config. sys、win. ini 和 system. ini 等 ) 等 。 

2. 进程 隐藏 

进程 隐藏 就 是 通过 某 种 手段 ,使 用 户 不 能 发 现 当 前 运行 着 的 木马 进程 ,或 者 当前 木马 
程序 不 以 进程 或 服务 的 形式 存在 。 木 马 的 进程 隐藏 包括 两 方面 : 伪 隐 藏 和 真 隐藏 。 伪 隐 
藏 就 是 指 木马 程序 的 进程 仍然 存在 ,只 不 过 是 消失 在 进程 列表 里 ; 真 隐藏 则 是 让 木马 程序 
彻底 地 消失 ,不 以 一 个 进程 或 者 服务 的 方式 工作 。 

3. 文件 /目录 隐藏 


文件 /目录 隐藏 包括 两 种 实现 方式 ,一 是 通过 伪装 ,达到 迷惑 用 户 的 目的 ;二 是 隐藏 森 
马 文件 和 目录 自身 。 对 于 前 者 ,除了 修改 文件 属性 为 “隐藏 > 之 外 ,大 多 通过 一 些 类 似 于 系 
统 文件 的 文件 名 来 隐藏 自己 ;对 于 后 者 ,可 以 修改 与 文件 系统 操作 有 关 的 程序 ,挂钩 文件 
系统 相关 函数 ,特殊 区 域 存放 (如 对 硬盘 进行 低级 操作 ,将 一 些 扇 区 标志 为 坏 区 ,将 木马 文 
件 隐藏 在 这 些 位 置 ,或 将 文件 存放 在 引导 区 中 ) 等 方式 达到 隐藏 自身 的 目的 。 


4. 内 核 模块 隐藏 
内 核 模块 隐藏 指 内 核 级 木马 对 自身 加 载 模块 信息 的 隐藏 。 系 统 中 ,内 核 级 木马 一 般 
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采用 设备 驱动 技术 (VXD、KMD 和 WDM) ,编写 虚拟 设备 驱动 程序 来 实现 。 内 核 模块 隐 
藏 在 这 里 是 指 防止 木马 使 用 的 驱动 程序 模块 信息 被 Drivers、DeviceTree 等 工具 发 现 。 
Windows 系统 中 实现 内 核 模块 隐藏 的 木马 有 hxdef、AFXRootkit 等 。Linux 系统 中 ,由 
于 内 核 级 木马 一 般 使 用 LKM 技术 实现 ,内 核 模块 隐藏 也 就 是 对 LKM 信息 的 隐藏 。 该 
信息 存放 在 4 个 单 链表 中 ,删除 链表 中 相应 的 木马 信息 ,就 可 避 过 lsmod 之 类 管理 程序 的 
检查 。Linux 系统 中 实现 内 核 模块 隐藏 的 木马 有 Adore、Lmark 和 Phide 等 。 


5. 原始 分 发 隐藏 


原始 分 发 隐藏 是 指 软件 开发 商 可 以 在 软件 的 原始 分 发 中 植 人 木马 。 如 在 Linux 系统 
中 ,编译 器 木马 就 采用 了 原始 分 发 隐藏 技术 ,其 主要 思想 是 : 

(1) 修改 编译 器 的 源 代码 A, 植 入 木马 ,包括 针对 特定 程序 的 木马 (如 login 程序 ) 和 
针对 编译 器 的 木马 ,经 修改 后 的 编译 器 源码 成 为 B。 

(2) 用 干净 的 编译 器 C 对 B 进行 编译 得 到 被 感染 的 编译 器 D。 

(3) 删除 B, 保 留 D 和 A, 将 D 和 人 A 同时 发 布 。 以 后 ,无 论 用 户 怎样 修改 源 程 序 ,使 
用 DD 编译 后 的 目标 login 程序 都 包含 木马 。 更 严重 的 是 用 户 无 法 查 出 原因 ,因为 被 修改 
的 编译 器 源码 B 已 被 删除 ,发 布 的 是 A, 用 户 无 法 从 源 程 序 中 看 出 破绽 ,即使 用 户 使 用 D 
对 A 重新 进行 编译 ,也 无 法 清除 隐藏 在 编译 器 二 进 制 中 的 木马 。 


6. 通信 隐藏 


通信 隐藏 主要 包括 通信 内 容 、 状 态 和 流量 等 方面 的 隐藏 。 通 信 内 容 隐 藏 方式 比较 简 
单 ,可 以 采用 常见 / 自 定义 的 加 密 、 解 密 算 法 实现 。 变 换 数 据 包 顺 序 也 可 以 实现 通信 内 容 
隐藏 。 对 于 传输 个 对 象 的 通信 ,可 以 有 n! 种 传输 顺序 ,总 共 可 以 表示 log; (n1) 比 特 的 
信息 。 但 是 该 方法 对 网 络 传输 质量 要 求 较 高 ,接收 方 应 能 按照 数据 包 发 送 的 顺序 接收 。 
这 种 通信 隐藏 方式 具有 不 必修 改 数据 包 内 容 的 优点 。 现 在 一 般 的 木马 都 采用 了 通信 内 容 
的 隐藏 方式 。 


17.3.4 木马 的 分 类 


自 木 马 程序 诞生 至 今 , 出 现 了 很 多 类 型 ,从 不 同 角度 分 , 则 有 多 种 分 类 方法 。 但 要 想 
对 木马 进行 完全 的 列举 和 说 明 不 太 现 实 ,况且 大 多 数 木马 的 功能 并 不 单一 。 按 照 木 马 完 
成 的 功能 来 分 ,可 分 为 远程 控制 型 .密码 发 送 型 破坏 型 .键盘 记录 型 .DoS 攻击 木马 .FTP 
木马 .反弹 端口 型 和 代理 木马 等 。 


1. 远程 控制 型 木马 


远程 控制 型 木马 是 目前 数量 最 多 ,危害 最 大 ,应 用 最 广泛 的 特洛伊 木马 , 它 可 以 让 攻 
击 者 完全 控制 被 感染 的 计算 机 ,危害 非常 大 。 该 种 类 型 的 木马 往往 集成 了 其 他 类 型 木马 
的 功能 ,使 其 在 被 感染 的 机 器 上 为 所 和 欲 为 ,如 访问 任意 文件 .得 到 机 主 的 私人 信息 甚至 包 
括 信用 卡 ,银行 账 号 等 至 关 重要 的 信息 。 
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2. 密码 发 送 型 木马 


在 信息 安全 日 益 重 要 的 今天 ,密码 无 疑 是 通 向 重要 信息 时 一 把 极其 有 用 的 钥匙 ,只 要 
掌握 了 对 方 的 密码 ,就 可 以 得 到 对 方 的 很 多 信息 。 而 密码 发 送 型 的 木马 正 是 专门 为 了 资 
取 被 感染 主机 上 的 密码 而 编写 的 ,木马 一 旦 被 执行 ,就 会 自动 搜索 内 存 、cache、 临 时 文件 
夹 以 及 各 种 敏感 的 密码 文件 ,一 旦 搜索 到 有 用 的 密码 ,木马 就 会 利用 电子 邮件 服务 将 密码 
发 送 到 指定 的 邮箱 ,从 而 达到 获取 密码 的 目的 。 


3. 破坏 型 木马 


这 种 木马 唯一 的 功能 就 是 破坏 被 感染 主机 上 的 文件 系统 ,使 其 遭受 系统 崩溃 或 者 重 
要 数据 丢失 的 巨大 损失 。 从 这 一 点 上 来 说 , 它 和 病毒 很 相像 。 


4. 键盘 记录 型 木马 


这 种 特洛伊 木马 非常 简单 ,它们 只 做 一 件 事情 ,就 是 记录 受害 者 的 键盘 敲 击 并 且 在 
log 文件 里 查找 密码 。 它 们 有 在 线 和 离线 记录 两 种 选项 ,可 以 分 别 记 录 受 害 者 在 线 和 离 
线 状态 下 硕 击 键盘 时 的 按键 情况 ,也 就 是 说 你 按 过 什么 按键 ,黑客 从 记录 中 都 可 以 知道 ， 
这 样 可 以 很 容易 从 中 得 到 受害 者 的 密码 等 有 用 信息 。 


5. 拒绝 服务 攻击 木马 


随 着 拒绝 服务 (DoS) 攻 击 越 来 越 广 泛 地 放 用 ,被 用 作 DoS 攻击 的 木马 也 越 来 越 多 。 
当 黑 客人 侵 一 台 主 机 并 安装 DoS 攻击 木马 后 ,这 台 主 机 就 成 为 黑客 DoS 攻击 的 倪 偶 机 。 
黑客 控制 这 样 的 便 偶 越 多 ,发动 DoS 攻击 取得 成 功 的 概率 就 越 大 。 


6. 反弹 端口 型 木马 


针对 有 防火 墙 保护 的 系统 ,防范 策略 设置 时 ,对 于 接 入 的 连接 ,防火 墙 往 往 会 进行 严 
格 过 滤 ,而 对 于 接 出 的 连接 却 朴 于 防范 。 木 马 开发 者 在 分 析 防 火 墙 的 该 特性 后 ,开发 了 反 
弹 端口 型 木马 。 与 一 般 的 木马 相反 ,反弹 端口 型 木马 的 服务 端 ( 被 控制 端 ) 使 用 主动 端口 ， 
客户 端 (控制 端 ) 使 用 被 动 端口 。 木 马 定时 监测 控制 端的 存在 ,发 现 控制 端 上 线 立 即 弹 出 
端口 主动 连接 控制 端 打 开 的 被 动 端口 。 为 了 隐藏 自己 ,控制 端的 被 动 端口 一 般 使 用 80 端 
口 , 因 为 大 多 数 用 户 扫描 检查 自己 的 端口 使 用 情况 时 ,如 果 发 现 类 似 TCP User IP:1026 
ControllerIP:80 ESTALISHED 的 情况 ,往往 以 为 是 自己 在 浏览 网 页 。 


7. 代理 木马 

黑客 在 人 侵 的 同时 掩盖 自己 的 痕迹 ,谨防 别人 发 现 自 己 的 身份 是 非常 重要 的 ,因此 ， 
给 被 控制 的 主机 上 安装 代理 木马 ,让 其 变 为 攻击 者 发 动 攻击 的 跳板 是 代理 木马 最 重要 的 
任务 。 通 过 代理 木马 ,攻击 者 可 以 在 匿名 的 情况 下 使 用 Telnet、ICQ、IRC 等 程序 ,从 而 隐 
藏 自己 的 踪迹 。 
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17.3.5 木马 植 入 手段 


利用 木马 攻击 的 第 一 步 是 把 木马 程序 植 和 到 目标 系统 中 。 攻 击 者 常用 的 木马 植 人 手 
段 包 括 : 

(1) 下 载 植 和 木马。 木马 程序 通常 伪装 成 优秀 的 工具 或 游戏 ,引诱 他 人 下 载 并 执行 ， 
由 于 一 般 的 木马 执行 程序 非常 小 ,大 都 是 几 千 字 节 或 几 十 千 字 节 , 所 以 攻击 者 可 以 通过 一 
定 的 方法 把 木马 文件 集成 到 上 述 文件 中 ,一 旦 用 户 下 载 , 在 执行 其 他 程序 的 同时 木马 也 被 
植 人 系统 。 

(2) 通过 电子 邮件 来 传播 。 木 马 程序 作为 电子 邮件 的 附件 发 送 到 目标 系统 ,一 旦 用 
户 打开 此 附件 (木马 ) ,木马 就 会 植 和 人 到 目标 系统 中 。 以 此 为 植 人 方式 的 木马 常常 会 以 
HTML、JPG、BMP、TXT、ZIP 等 各 种 非 可 执行 文件 的 图 标 显示 在 附件 中 ,以 诱 使 用 户 打 
开 附 件 。 

(3) 木马 程序 隐藏 在 一 些 具有 恶意 目的 的 网 站 中 ,目标 系统 用 户 在 浏览 这 些 网 页 时 ， 
木马 通过 Script、ActiveX 及 XML 等 交互 脚本 植 入 。 由 于 微软 的 IE 浏览 器 在 执行 Script 
脚本 上 存在 漏洞 ,攻击 者 把 木马 与 含有 这 些 交 互 脚本 的 网 页 联系 在 一 起 ,利用 这 些 漏洞 通 
过 交互 脚本 植 人 木马 。 

(4) 利用 系统 的 一 些 漏洞 植 人 ,如 微软 著名 的 IIS 漏洞 ,通过 相应 的 攻击 程序 使 IIS 
服务 器 失效 ,同时 在 服务 器 上 安装 木马 程序 。 

(5) 攻击 者 成 功 入 侵 目 标 系统 后 ,把 木马 植 入 目标 系统 。 此 种 情况 下 木马 攻击 作为 
对 目标 系统 攻击 的 一 个 环节 ,以 使 下 次 随时 进入 和 控制 目标 系统 。 


17.3.6 木马 的 特点 


人 们 通常 将 木马 看 成 计算 机 病毒 ,其 实 它们 之 间 存 在 着 很 大 的 区 别 , 从 计算 机 病毒 的 
定义 及 其 特征 可 以 看 出 ,计算 机 病毒 和 木马 最 基本 的 区 别 在 于 病毒 具有 很 强 的 传染 性 和 
寄生 性 ,木马 程序 则 不 同 。 木 马 本 身 不 能 感染 其 他 文件 ,其 主要 作用 是 服务 端 打开 目标 系 
统 的 门户 ,方便 攻击 者 利用 控制 端 能 够 访问 目标 系统 ,可 以 修改 .毁坏 和 窃取 目标 系统 的 
文件 ,甚至 远程 操控 目标 系统 。 为 了 提高 系统 的 可 生存 性 ,木马 会 采用 各 种 手段 来 伪装 、 
隐藏 ,以 使 被 感染 的 系统 表现 正常 。 但 是 ,现在 的 木马 技术 和 病毒 的 发 展 相互 借鉴 ,也 使 
得 木马 具有 更 好 的 传播 性 ,病毒 具有 远程 控制 能 力 ,这 同样 使 得 木马 程序 和 病毒 的 区 别 日 

对 于 木马 ,其 特点 可 以 归纳 如 下 : 

(1) 隐藏 性 。 隐 项 性 是 木马 程序 与 远程 控制 程序 的 主要 区 别 , 也 是 影响 木马 能 和 否 长 
期 存活 的 关键 。 木 马 通常 利用 各 种 手段 隐藏 痕迹 ,避免 被 发 现 或 跟踪 。 常 用 的 隐藏 技 
术 有 : 

中 每 次 执行 后 自动 变更 文件 名 。 

@ 复制 到 其 他 文件 夹 中 做 备份 。 
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@ 执行 时 不 会 在 系统 中 显示 出 来 。 木 马 虽然 在 系统 启动 时 会 自动 运行 ,但 它 不 会 在 
“任务 栏 ”" 中 产生 对 应 的 图 标 。 

@ 进程 插入 。 在 Windows 中 ,每 个 进程 都 有 自己 的 私有 内 存 地 址 空间 。 当 访问 内 
存 时 ,一 个 进程 无 法 访问 另 一 个 进程 的 内 存 地 址 空间 。 可 以 将 木马 程序 插入 到 其 他 进程 
中 以 达到 隐身 的 目的 。 

@ 加 壳 。 木 马 虽然 狭 猎 , 可 是 一 旦 被 杀毒 软件 定义 了 特征 码 ,在 运行 前 就 会 被 拦截 。 
很 多 木马 为 躲避 杀毒 软件 的 追 杀 ,在 木马 程序 外 面 加 壳 , 相 当 于 给 木马 穿 了 件 衣 服 , 以 逃 
避 杀 毒 软件 的 查 杀 。 

(2) 欺骗 性 。 为 了 达到 隐蔽 目的 ,木马 常常 使 用 和 系统 相关 的 一 些 文件 名 来 隐蔽 自 
身 。 经 常 使 用 的 文件 名 或 扩展 名 有 dll、win、sys、explorer 等 字样 ,或 者 仿制 一 些 不 易 被 
人 区 别 的 文件 名 ,例如 ,木马 最 惯用 的 伎俩 就 是 把 本 应 是 “Explorer” 的 名 字 变 成 它 自 己 的 
程序 名 ,名 称 几 乎 伪装 成 与 原来 的 一 样 ,例如 把 其 中 的 字母 “1” 改 为 数字 “1”, 或 者 把 其 中 
的 字母 “o” 改 为 数字 “0”, 这 些 改变 如 果 不 仔 细 留 意 是 很 难 被 人 发 现 的 。 常 常 修改 几 个 文 
件 中 的 这 些 难 以 分 辨 的 字符 ,更 有 其 者 干脆 就 借用 系统 文件 中 已 有 的 文件 名 ,所 不 同 是 只 
是 保存 的 路 径 不 同 。 

(3) 顽固 性 。 很 多 木马 的 功能 模块 已 不 再 是 由 单一 的 文件 组 成 ,而 是 具有 多 重 备份 ， 
可 以 相互 恢复 。 当 木马 被 检查 出 来 以 后 ,仅仅 删除 木马 程序 并 不 能 达到 清除 木马 的 目的 ， 
这 些 木马 使 用 文件 关联 技术 , 当 打 开 某 种 类 型 的 文件 时 ,该 种 木马 又 重新 生成 并 运行 。 

(4) 危害 性 。 当 木马 被 植 和 人 目标 主机 以 后 ,攻击 者 可 以 通过 客户 端 强大 的 控制 和 破 
坏 力 对 主机 进行 操作 。 例 如 可 以 窃取 系统 密码 ,控制 系统 的 运行 .进行 有 关 文件 的 操作 以 
及 修改 注册 表 等 。 目 前 常见 的 木马 程序 多 为 盗号 木马 ,给 用 户 带 来 的 危害 可 能 包括 窃取 、 
毁坏 重要 文件 、. 盗 取 网 银 账户 窃取 股票 交易 账户 ,以 及 盗 取 游戏 账号 等 。 

(5) 潜伏 性 。 木 马 种 植 到 系统 后 一 般 不 会 马上 发 作 , 而 是 要 等 到 与 控制 端 连接 之 
后 才 会 接受 指令 而 动作 。 因 此 ,如 果 用 户 中 了 木马 ,通常 不 会 立刻 发 现 恶 意 影 响 。 只 
有 当 用 户 通 过 端口 扫描 等 安全 工具 去 检查 的 时 候 , 才 会 发 现 有 莫名 其 妙 的 端口 正在 
监听 。 


17.3.7 木马 的 防范 技术 


目前 ,病毒 和 木马 有 常见 的 两 种 感染 方式 ,一 是 运行 了 被 感染 有 病毒 或 木马 的 程序 ， 
二 是 浏览 网 页 、 邮 件 时 利用 浏览 器 漏洞 ,病毒 和 木马 自动 下 载运 行 。 因 而 防范 的 第 一 步 首 
先是 要 提高 警惕 ,不 要 轻易 打开 来 历 不 明 的 可 疑 文件 .网 站 、 邮 件 等 ,并 且 要 及 时 为 系统 打 
上 补丁 ,安装 上 可 靠 的 杀毒 软件 并 及 时 升级 病毒 库 。 其 他 防范 技术 还 有 以 下 几 种 。 


1. 利用 工具 查 杀 木马 


目前 用 于 检测 木马 的 工具 基本 上 分 为 两 类 : 一 是 杀毒 软件 ,它们 利用 升级 病毒 库 特 
征 查 杀 , 如 360 杀毒 .金山 毒霸 等 ;二 是 专门 针对 木马 的 检测 防范 工具 ,比较 著名 的 工具 有 
The Cleaner 和 Anti-Trojan 等 。 
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1) 杀毒 软件 检测 

利用 特征 码 匹 配 的 原则 进行 查 杀 。 首 先 对 大 量 的 木马 病毒 文件 进行 格式 分 析 , 在 文 
件 的 代码 段 中 找 出 一 串 特 征 字符 串 作 为 木马 病毒 的 特征 ,建立 特征 库 。 然 后 ,对 磁盘 文 
件 、. 传 人 系统 的 比特 串 进 行 扫描 匹配 ,如 果 发 现 有 字符 串 与 木马 病毒 特征 匹配 ,就 认为 发 
现 了 木马 病毒 。 

2) 专用 工具 检测 方法 

专用 工具 通常 采用 动态 监视 网 络 连 接 和 静态 特征 字 扫 描 结合 的 方法 。 通 过 进行 木马 
攻击 模拟 ,分 析 木 马 打开 的 通信 端口 .木马 文件 中 的 特征 字符 串 、 木 马 在 注册 表 和 系统 特 
殊 文件 中 的 具体 加 载 启 动 方 式 、 木 马 的 进程 名 、 木 马 文件 的 基本 属性 (如 文件 大 小 等 ), 并 
把 它们 作为 木马 的 特征 和 标识 。 对 大 量 木马 进行 这 方面 的 特征 分 析 , 建 立木 马 特征 库 。 
对 本 地 主机 或 远程 主机 的 通信 端口 .进程 列表 、 注 册 表 的 启动 和 关联 项 进行 扫描 ,如 果 发 
现 打开 的 通信 端口 有 特征 库 中 统计 的 木马 端口 ,或 木马 进程 名 、 或 注册 项 启动 项 文件 关 
联 项 中 有 特征 库 中 统计 的 木马 加 载 启动 方式 ,就 判断 有 木马 。 对 本 地 主机 或 远程 主机 的 
磁盘 文件 进行 木马 特征 字符 串 匹 配 扫 描 ,发 现 相符 的 字符 串 就 判定 为 木马 。 

以 上 两 种 方式 都 可 以 杀 除 木马 ,但 二 者 有 一 定 的 区 别 。 后 者 针对 性 强 ,并 且 功 能 强 
大 。 例 如 它们 会 带 有 监视 特定 端口 的 信息 流量 ,一 旦 发 现 异 常 的 端口 开放 或 者 异常 的 数 
据 流动 ,就 会 以 明文 方式 通知 用 户 进行 确认 。 这 样 可 以 有 效 地 阻止 木马 的 自动 运行 功能 ， 
从 而 达到 防范 木马 的 目的 。 有 些 木 马 专 杀 工具 还 可 以 先 于 系统 启动 ,以 达到 杀 除 内 核 级 
木马 的 目的 ,这 也 是 前 者 无 法 做 到 的 。 


2. 查看 系统 注册 表 


注册 表 对 于 普通 用 户 来 说 比较 复杂 ,木马 常常 喜欢 隐藏 在 这 里 。 例 如 在 system. ini 
文件 中 ,在 LBOOTJ 下 面 有 个 “shell= 文 件 名 ”。 正 确 的 文件 名 应 该 是 explorer. exe, 如果 
不 是 explorer. exe, 而 是 “shell 王 explorer. exe 程序 名 ”, 那 么 后 面 跟着 的 那个 程序 就 是 木 
马 程 序 。 在 注册 表 中 的 状况 比较 复杂 ,通过 regedit 命令 打开 注册 表 编 辑 器 ,再 单 击 至 
“HKEY _LOCAL_MACHINE/Software/ Microsoft/ Windows/CurrentVersion/Run” 目 
录 下 ,查看 键 值 中 有 没有 自己 不 熟悉 的 扩展 名 为 exe 的 自动 启动 文件 。 注 意 , 有 的 木马 程 
序 生成 的 文件 很 像 系 统 自 身 的 文件 . 它 试图 通过 伪装 蒙混 过 关 , 如 “Acid Battery v1. 0 木 
马 ”, 它 将 注册 表 “HKEY _ LOCAL _ MACHINE/Software/Microsoft/Windows/ 
CurrentVersion/Run” 下 的 Explorer 键 值 改 为 Explorer 二 “C:\Windowsexpiorer. exe”。 
“木马 ”程序 与 真正 的 程序 之 间 只 有 i 与 1 的 差别 。 


3. 检查 网 络 通信 状态 


由 于 不 少 木 马 会 主动 侦 听 端口 或 者 会 连接 特定 的 IP 和 端口 ,所 以 可 以 在 没有 正常 
程序 连接 网 络 的 情况 下 ,通过 检查 网 络 连 接 情 况 来 发 现 木 马 的 存在 。 可 以 用 防火 墙 观察 
是 哪些 应 用 程序 打开 端口 并 与 外 界 有 了 联系 。 可 以 随时 完全 监控 计算 机 网 络 连接 情况 ， 
一 旦 存在 不 熟悉 的 程序 和 特别 的 端口 在 运行 ,就 可 以 马上 发 现 它 ,可 以 及 时 关闭 它 ,也 可 
以 跟踪 它 , 找 到 它 的 原文 件 位 置 。 
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4. 查看 目前 的 运行 任务 


服务 是 很 多 木马 用 来 保持 自己 在 系统 中 永远 能 处 于 运行 状态 的 方法 之 一 。 可 以 通过 
选择 “开始 ”一 运行 ”命令 ,输入 "cmd”, 然 后 输入 "net start" 来 查看 系统 中 究竟 有 什么 服 
务 正在 开启 ,如 果 发 现 不 是 自己 开放 的 服务 ,可 以 进入 “管理 工具 ”中 的 “服务 ”, 找 到 相应 
的 服务 ,停止 并 禁用 它 。 


5. 查看 系统 启动 项 


查看 “启动 "项目 时 一 般 包 括 Windows 系统 需要 加 载 的 程序 ,如 注册 表 检 查 、 系 统 托 
盘 、 能 源 保护 .计划 任务 .输入 法 相关 的 启动 项 以 及 用 户 安装 的 需要 在 系统 启动 时 加 载 的 
程序 。 木 马 很 可 能 藏 在 这 些 地 方 。 若 在 以 上 文件 或 项 目 中 发 现 木马 , 则 记 下 木马 的 文件 
名 ,将 系统 配置 文件 改 回 正常 情况 ,重新 启动 计算 机 ,在 硬盘 上 找到 记 下 的 木马 文件 ,删除 
即 可 。 


6. 使 用 内 存 检测 工具 检查 


因为 黑客 可 以 任意 指定 被 绑 定 程序 ,木马 在 何 时 启动 很 难 确定 ,所 以 在 系统 启动 后 及 
某 个 程序 运行 后 都 可 利用 内 存 监测 工具 (系统 的 任务 管理 器 ) 查 看 内 存 中 有 无 不 是 指定 运 
行 的 进程 在 运行 。 如 果 有 ,很 可 能 就 是 木马 , 先 记 下 它 的 文件 名 ,终止 它 的 运行 ,再 删除 硬 
盘 上 的 该 文件 。 另 外 还 必须 找到 被 绑 定 程序 ,否则 被 绑 定 程序 一 旦 运行 ,木马 又 会 重新 运 
行 。 有 些 木 马 采 用 双 进 程 守护 技术 ,木马 被 植 人 到 两 个 进程 中 ,如 果 其 中 一 个 进程 被 查 
杀 , 男 一 个 进程 会 迅速 地 对 其 进行 恢复 。 


7. 用 户 安 全 意识 策略 


以 上 介绍 的 内 容 均 为 木马 查 杀 方 法 ,在 木马 防范 的 过 程 中 ,用 户 也 需 加 强 安全 意识 ， 
杜绝 木马 心理 欺骗 层面 上 的 入 侵 企图 。 

(1) 不 随便 下 载 软件 ,不 执行 任何 来 历 不 明 的 软件 。 

(2) 不 随意 在 网 站 上 散播 个 人 电子 邮箱 地 址 ,对 邮箱 的 邮件 过 滤 进 行 合理 设置 并 确 
保 电子 邮箱 防 病毒 功能 处 于 开启 状态 ,不 打开 陌生 人 发 来 的 邮件 及 附件 。 

(3) 除 对 IE 升级 和 及 时 安装 补丁 外 ,同时 禁用 浏览 器 的 “ActiveX 控件 和 插件 以 及 
“Java 脚本 ”功能 ,以 防 恶意 站 点 网 页 木马 的 “全 自动 人 侵 ”。 

(4) 在 可 能 的 情况 下 采用 代理 上 网 ,隐藏 自己 的 地 址 ,以 防 不 良 企图 者 获取 用 于 入 侵 
计算 机 的 有 关 信息 。 

8. 纵深 防御 保护 系统 安全 

木马 不 断 采用 新 技术 来 逃避 杀毒 软件 的 查 杀 和 穿越 防火 墙 实现 数据 的 “合法 ”传输 ， 
可 见 系统 现 有 安全 工具 并 不 能 百分之百 地 保证 系统 的 安全 运行 ,因此 ,应 采用 其 他 工具 联 


合 保护 系统 安全 。 较 好 的 办 法 是 对 系统 和 网 络 的 状态 进行 实时 监控 。 
个 人 用 户 可 以 采用 安全 软件 实现 对 系统 和 网 络 的 监控 。 一 些 高 级 进程 管理 工具 具备 
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进程 监控 、 进 程 查 杀 、 启 动 监控 等 多 种 功能 ,能 提供 详细 的 进程 信息 ,显示 系统 隐藏 进程 ， 
对 当前 网 络 进程 监视 并 提供 协议 、 端 口 、 远 程 P、 状 态 、 进 程 路 径 等 信息 。 男 外 一 些 监 视 
软件 可 对 系统 、 设 备 文件、 注册 表 、 网 络 、 用 户 等 进行 全 面 监控 ,提供 详细 的 时 间 、 动 作 , 状 
态 等 信息 ,并 能 将 信息 存 为 日 志 以 备 分 析 使 用 。 采 用 此 类 工具 对 系统 进行 实时 监控 能 及 
时 发 现 系 统 中 的 可 疑 行为 和 可 能 的 木马 入 侵 ,这 样 用 户 可 及 时 发 现 异 常情 况 并 采取 相应 
的 措施 将 其 消除 在 萌芽 状态 。 运 用 此 类 系统 监视 工具 与 杀毒 软件 及 防火 墙 相 结合 ,能 全 
方位 实时 保护 系统 安全 。 


17.4 蠕虫 
17.4.1 蠕虫 概述 


蠕虫 病毒 是 一 种 常见 的 计算 机 病毒 。 它 的 传染 机 理 是 利用 网 络 进行 复制 和 传播 , 传 
染 途 径 是 通过 网 络 和 电子 邮件 。 最 初 的 蠕虫 病毒 名 称 的 由 来 是 源 于 在 DOS 环境 下 ,病毒 
发 作 时 会 在 屏幕 上 出 现 一 条 类 似 虫 子 的 东西 ,胡乱 知 吃 屏幕 上 的 字母 并 将 其 改 形 。 计 算 
机 蠕虫 是 一 种 具有 自我 复制 和 传播 能 力 、 可 独立 自动 运行 的 恶意 程序 。 它 综合 黑客 技术 
和 计算 机 病毒 技术 ,通过 利用 系统 中 存在 漏洞 的 主机 ,将 蠕虫 自身 从 一 个 节点 传播 到 另外 
一 个 节点 。 

蠕虫 具有 病毒 的 一 些 共性 ,如 传染 性 .隐蔽 性 和 破坏 性 等 ,蠕虫 与 病毒 的 区 别 在 于 * 附 
着 ”。 蠕 虫 不 需要 宿主 ,是 一 段 完 整 的 独立 代码 ,蠕虫 一 般 不 采取 利用 PE 格式 插入 文件 
的 方法 ,而 病毒 需要 成 为 宿主 程序 的 一 部 分 ;蠕虫 可 以 自主 地 利用 网 络 传播 ,复制 自身 在 
互联 网 环境 下 进行 传播 ,病毒 的 传染 能 力主 要 是 针对 计算 机 内 的 文件 系统 而 言 ,而 蠕虫 病 
毒 的 传染 目标 是 互联 网 内 的 所 有 计算 机 。 局 域 网 条 件 下 的 共享 文件 夹 、 电 子 邮 件 
(E-mail) 网络 中 的 恶意 网 页 、 大 量 存 在 着 漏洞 的 服务 器 等 都 成 为 蠕虫 传播 的 途径 。 网 络 
的 发 展 也 使 得 蠕虫 病毒 可 以 在 几 个 小 时 内 草 延 全 球 ,而 且 蠕 虫 的 主动 攻击 性 和 突然 爆发 
性 将 使 得 人 们 手足 无 策 。 

这 里 列 出 一 些 影响 比较 严重 的 蠕虫 病毒 和 它们 所 造成 损失 情况 。 

。 英里 斯 蠕虫 : 1988 年 ,22 岁 的 康 奈 尔 大 学 研究 生 罗 伯 特 莫 里 斯 通过 网 络 发 送 了 
一 种 专 为 攻击 UNIX 系统 缺陷 、 名 为 莫 里 斯 蠕虫 的 病毒 。 蠕 虫 造成 了 6000 个 系 
统 瘫痪 ,直接 经 济 损失 达 9600 万 美元 。 
美丽 杀手 : 1999 年 ,政府 部 门 和 一 些 大 公司 紧急 关闭 了 网 络 服务 器 ,经 济 损失 超 
过 12 亿美 元 。 
爱 虫 病毒 : 2000 年 5 月 ,至 今 众多 用 户 计算 机 被 感染 ,损失 超过 100 亿美 元 以 上 。 
红色 代码 : 2001 年 7 月 ,网 络 瘫痪 ,直接 经 济 损失 很 大 。 
求职 信 : 2001 年 12 月 ,大 量 病毒 邮件 堵塞 服务 器 ,损失 达 数 百 亿 美元 。 
SQL 蠕虫 王 : 2003 年 1 月 26 日 ,一 种 名 为 “2003 蠕虫 王 ” 的 蠕虫 病毒 迅速 传播 并 
效 击 了 全 球 ,致使 互联 网 严重 堵塞 ,作为 互联 网 主要 基础 的 域名 服务 器 瘫痪 ,网 民 
浏览 互联 网 及 收发 电子 邮件 的 速度 大 幅 减缓 .银行 自动 提 款 机 、 机 票 等 网 络 预订 
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系统 的 运作 中 断 , 信 用 卡 等 收 付款 系统 出 现 故障 等 ,专家 估计 ,直接 经 济 损失 超过 
26 亿美 元 。 


17.4.2 蠕虫 的 结构 


蠕虫 的 基本 程序 结构 为 传播 模块 、 隐 藏 模块 和 目的 功能 模块 。 传 播 模 块 负责 蠕虫 的 
传播 ;隐藏 模块 负责 侵入 主机 后 ,隐藏 蠕虫 程序 ,防止 被 用 户 发 现 ;目的 功能 模块 实现 对 计 
算 机 的 控制 .监视 或 破坏 等 功能 。 

传播 模块 又 可 以 分 为 扫描 攻击 和 复制 三 个 基本 模块 。 由 扫描 模块 负责 探测 存在 漏 
洞 的 主机 。 当 程序 向 某 个 主机 发 送 探测 漏洞 的 信息 并 收 到 反馈 信息 后 ,就 得 到 一 个 可 传 
播 的 对 象 。 攻 击 模块 按 漏洞 攻击 步骤 自动 攻击 扫描 中 找到 的 对 象 , 取 得 该 主机 的 权限 , 获 
得 一 个 Shell。 复 制 模块 通过 原 主机 和 新 主机 的 交互 将 蠕虫 程序 复制 到 新 主机 并 启动 。 
传播 模块 实际 上 实现 的 是 自动 入 侵 的 功能 。 所 以 蠕虫 的 传播 技术 是 蠕虫 技术 的 首要 技 
术 , 没 有 蠕虫 的 传播 技术 ,也 就 谈 不 上 什么 蠕虫 技术 了 。 

蠕虫 利用 系统 漏洞 进行 传播 主要 有 以 下 三 个 阶段 : 

第 一 阶段 要 进行 主机 探测 ,已 经 感染 蠕虫 的 主机 在 网 络 上 搜索 易 感 染 的 目标 主机 。 
这 一 步骤 决定 采用 何 种 搜索 算法 对 本 地 或 者 目标 网 络 进行 信息 搜集 ,内 容 包括 本 机 系统 
信息 、 用 户 信息 、 邮 件 列表 、 对 本 机 的 信任 或 授权 的 主机 、 本 机 所 处 网 络 的 拓扑 结构 、 边 界 
路 由 信息 等 ,这 些 信息 可 以 单独 使 用 或 被 其 他 个 体 共 享 。 良 好 的 扫描 策略 能 够 加 速 蠕 虫 
传播 ,使 蜂 虫 在 最 短 的 时 间 内 找到 互联 网 上 全 部 可 以 感染 的 主机 。 

第 二 阶段 已 经 感染 蠕虫 的 主机 把 蠕虫 代码 传送 到 易 感 染 的 目标 主机 上 。 完 成 对 特定 
主机 的 脆弱 性 检测 ,决定 采用 何 种 攻击 渗透 方式 。 攻 击 渗透 模块 利用 获得 的 安全 漏洞 , 建 
立 传播 途径 ,该 模块 在 攻击 方法 上 是 开放 的 、 可 扩充 的 。 

第 三 阶段 易 感 染 的 目标 主机 执行 蠕虫 代码 ,感染 目标 主机 系统 。 蠕 虫 进行 自我 复制 
与 推进 ,该 过 程 可 以 采用 各 种 形式 生成 各 种 形态 的 蠕虫 副本 .在 不 同 主机 间 完 成 蠕虫 副本 
传递 。 例 如 ,Nimda 会 生成 多 种 文件 格式 和 名 称 的 蠕虫 副本 ;W32. Nachi, Worm 利用 系 
统 程 序 ( 如 TFTP) 来 完成 推进 模块 的 功能 等 。 

目标 主机 感染 后 ,又 开始 第 一 阶段 的 工作 ,寻找 下 一 个 易 感 染 的 目标 主机 ,重复 第 二 
和 第 三 阶段 的 工作 。 


17.4.3 ”蠕虫 的 特点 


1. 独立 性 


一 般 病 毒 都 需要 宿主 程序 ,将 自己 的 代码 写 到 宿主 程序 中 ,程序 运行 时 执行 病毒 程 
序 , 从 而 造成 感染 和 破坏 。 蠕 虫 病毒 不 需要 宿主 程序 , 它 是 完整 的 ,独立 的 代码 ,所 以 可 不 
依赖 宿主 程序 独立 运行 ,主动 地 实施 攻击 。 
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2. 利用 漏洞 主动 攻击 


由 于 不 受 宿主 程序 的 限制 ,蠕虫 病毒 可 以 利用 操作 系统 的 各 种 漏洞 进行 主动 攻击 ,如 
“红色 代码 ”“ 尼 姆 达 ”、“ 求 职 信 ”等 。 由 于 正 浏览 器 的 漏洞 (Iframe ExecCommand) ,使 
得 感染 了 “ 尼 姆 达 ” 病 毒 的 邮件 在 不 用 手工 打开 附件 的 情况 下 病毒 就 能 激活 。“ 红 色 代 码 ” 
利用 了 微软 IIS 服务 器 软件 的 漏洞 (idq. dll 远程 缓冲 区 溢出 ) 来 传播 。 


3. 传播 方式 多 样 


蠕虫 病毒 比 传统 病毒 具有 更 大 的 传染 性 , 它 不 仅仅 感染 本 地 计算 机 ,而 且 会 以 本 地 计 
算 机 为 基础 ,感染 网 络 中 所 有 的 服务 器 和 客户 端 。 通 过 网 络 中 的 共享 文件 夹 、 电 子 邮 件 、 
恶意 网 页 以 及 存在 着 大 量 漏洞 的 服务 器 等 途径 肆意 传播 ,几乎 所 有 的 传播 手段 都 被 蠕虫 
病毒 运用 得 淋漓尽致 ,因此 ,蠕虫 病毒 的 传播 速度 可 以 是 传统 病毒 的 几 百 们 ,甚至 可 以 在 
儿 个 小 时 内 蔓延 全 球 ,造成 难以 估量 的 损失 。 


4. 伪装 和 隐藏 方式 较 好 


在 通常 情况 下 ,用户 在 接收 查看 电子 邮件 时 ,都 采取 双击 打开 邮件 主题 的 方式 浏览 
邮件 内 容 , 如 果 邮 件 中 带 有 病毒 ,用 户 的 计算 机 就 会 被 病毒 感染 。 因 此 ,通常 的 经 验 是 不 
运行 邮件 的 附件 就 不 会 感染 蠕虫 病毒 。 目 前 比较 流行 的 蠕虫 病毒 将 病毒 文件 通过 base 
64 编码 隐藏 到 邮件 的 正文 ,并 且 通 过 某 些 漏洞 造成 用 户 在 单 击 邮件 时 ,病毒 就 会 自动 解 
码 到 硬盘 上 并 运行 。Nimda 和 Klez( 求 职 信 ) 等 病毒 及 其 变种 还 利用 添加 带 有 双 扩 展 名 
的 附件 等 形式 来 迷惑 用 户 ,使 用 户 放松 警惕 性 ,从 而 进行 更 为 广泛 的 传播 。 


5. 采用 的 技术 更 先进 


一 些 蠕虫 病毒 与 网 页 的 脚本 相 结 合 ,利用 VBScript、Java、ActiveX 等 技术 隐藏 在 
HTML 页 面 里 。 当 用 户 上 网 浏览 含有 病毒 代码 的 网 页 时 ,病毒 会 自动 驻 留 内 存 并 伺机 触 
发 。 还 有 一 些 蠕虫 病毒 与 后 门 程序 或 木马 程序 相 结 合 , 比 较 典 型 的 是 “红色 代码 ”病毒 , 它 
会 在 被 感染 计算 机 的 WEB 目录 下 的 \scripts 下 生成 一 个 root. exe 后 门 程序 ,病毒 的 传播 
者 可 以 通过 这 个 程序 远程 控制 该 计算 机 。 这 类 与 黑客 技术 相 结 合 的 蠕虫 病毒 具有 更 大 的 
潜在 威胁 。 


17.4.4 蠕虫 的 防范 技术 


随 着 蠕虫 技术 的 不 断 发 展 ,网 络 蠕 虫 已 经 成 为 网 络 系统 的 极 大 威胁 ,准确 有 效 的 蠕虫 
检测 与 防范 是 消除 这 种 威胁 减轻 蠕虫 所 带 来 的 损失 的 重要 手段 。 

(1) 加 强 网 络 管理 员 的 安全 管理 水 平 , 提 高 用 户 的 安全 意识 。 由 于 蠕虫 病毒 利用 的 
是 系统 漏洞 进行 攻击 ,所 以 需要 在 第 一 时 间 内 保持 系统 和 应 用 软件 的 安全 性 ,保持 各 种 操 
作 系统 和 应 用 软件 的 更 新 。 由 于 各 种 漏洞 的 出 现 , 使 得 安全 不 再 是 一 劳 永 逸 的 事 ,要求 企 
业 的 管理 水 平和 安全 意识 也 越 来 越 高 。 
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(2) 建立 安全 检测 系统 。 从 网 络 整 体 考虑 ,建立 相对 完善 的 检测 系统 ,能 够 在 第 一 时 
间 内 检测 到 网 络 异常 和 病毒 攻击 ,如 IDS、IPS、 漏 洞 扫描 、 防 火 墙 防 病毒 软件 等 ,并 能 实 
现 互 容 联动 。 

(3) 利用 蠕虫 免疫 技术 防范 蠕虫 攻击 。 蠕 虫 传 播 时 ,由 于 重复 扫描 ,往往 伴随 着 网 络 
阻塞 ,但 这 不 是 蠕虫 攻击 的 本 意 。 为 了 避免 重复 感染 这 一 问题 ,蠕虫 设计 者 通常 在 受害 主 
机 系统 上 设置 一 个 标记 。 网 络 蠕虫 免疫 技术 的 基本 原理 就 是 在 易 感染 的 主机 系统 上 事先 
设置 一 个 蠕虫 感染 标记 ,欺骗 真实 的 网 络 蠕虫 ,从 而 保护 主机 免 受 蠕虫 攻击 。 

(4) 建立 应 急 响 应 系统 ,将 风险 减少 到 最 小 。 由 于 蠕虫 病毒 爆发 的 突然 性 ,可 能 在 蠕 
虫 发 现 的 时 候 已 经 草 延 到 了 整个 网 络 ,所 以 在 突 发 情况 下 ,建立 一 个 紧急 响应 系统 是 很 有 
必要 的 ,在 爆发 的 第 一 时 间 即 能 提供 解决 方案 。 

(5) 灾难 备份 系统 。 对 于 数据 库 和 数据 系统 ,必须 采用 定期 备份 .多 机 备份 措施 , 防 
止 意外 灾难 下 的 数据 丢失 。 

(6) 对 于 局 域 网 而 言 ,可 以 采用 以 下 一 些 主要 手段 : 在 Internet 接 人 处 安装 防火 墙 式 
防 杀 计算 机 病毒 的 产品 ,将 病毒 隔离 在 局 域 网 之 外 ;对 邮件 服务 器 进行 监控 ,防止 带 毒 邮 
件 进行 传播 ;对 局 域 网 用 户 进行 安全 培训 ;建立 局 域 网 内 部 的 升级 系统 ,包括 各 种 操作 系 
统 的 补丁 升级 ,各 种 常用 软件 升级 ,各 种 杀毒 软件 病毒 库 的 升级 等 。 


17.4.5 病毒 .木马 .蠕虫 的 区 别 


病毒 `, 木马 和 蠕虫 是 三 种 常见 的 恶意 程序 ,可 导致 计算 机 或 计算 机 上 的 信息 损坏 。 它 
们 可 使 网 络 和 操作 系统 变 慢 ,危害 严重 时 甚至 会 完全 破坏 系统 ,并 且 , 它 们 还 可 通过 网 络 
进行 传播 ,在 更 大 范围 内 造成 危害 。 三 者 都 是 人 为 编制 的 恶意 代码 ,都 会 对 用 户 造成 危 
害 。 人 们 往往 将 它们 统称 做 病毒 ,其 实 这 种 称 法 并 不 准确 ,它们 之 间 虽 然 有 着 共性 ,但 也 
有 着 很 大 的 差别 。 

病毒 必须 满足 两 个 条 件 : 一 是 能 自行 执行 ;二 是 能 自我 复制 。 

此 外 ,病毒 还 具有 很 强 的 感染 性 ,一 定 的 潜伏 性 ,特定 的 触发 性 和 破坏 性 等 。 由 于 计算 
机 病毒 所 具有 的 这 些 特征 与 生物 学 上 的 病毒 很 相似 ,因此 人 们 才 将 这 种 恶意 程序 代码 称 为 
计算 机 病毒 。 一 些 病毒 被 设计 为 通过 损坏 程序 、 删 除 文件 或 重新 格式 化 硬盘 来 损坏 计算 机 。 
有 些 病 毒 不 损坏 计算 机 ,而 只 是 复制 自身 ,并 通过 显示 文本 、 视 频 和 音频 消息 表明 它们 的 存 
在 。 通 常 它们 会 占据 合法 程序 使 用 的 计算 机 内 存 ,引起 操作 异常 ,甚至 导致 系统 崩溃 。 

竺 洛 伊 木 马 是 具有 欺骗 性 的 文件 (宣称 是 良性 的 ,但 事实 上 具有 恶意 的 目的 ) ,是 一 种 
基于 远程 控制 的 黑客 工具 ,具有 隐蔽 性 和 非 授权 性 的 特点 。 木 马 的 隐蔽 性 使 木马 难以 被 
发 现 , 即 使 发 现 感染 了 木马 ,也 难以 确定 其 具体 位 置 。 木 马 的 非 授 权 性 使 控制 端 可 以 窃取 
到 服务 端的 很 多 操作 权限 ,如 修改 文件 .修改 注册 表 、 控 制 鼠标 、 键 盘 、 窃 取信 息 等 。 一 旦 
感染 木马 ,用 户 的 系统 可 能 就 会 门户 大 开 , 毫 无 秘密 可 言 。 特 洛 伊 木马 与 病毒 的 重大 区 别 
是 特洛伊 木马 不 具 传 染 性 , 它 并 不 能 像 病 毒 那 样 复制 自身 ,也 并 不 “刻意 ”地 去 感染 其 他 文 
件 , 它 主要 通过 将 自身 伪装 起 来 ,吸引 用 户 下 载 执行 。 特 洛 伊 木马 中 包含 能 够 在 触发 时 导 
致 数据 丢失 甚至 被 窃 的 恶意 代码 ,要 使 特洛伊 木马 传播 ,必须 在 计算 机 上 有 效 地 启用 这 些 
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程序 ,例如 打开 电子 邮件 附件 或 者 将 木马 绑 定 在 软件 中 吸引 用 户 下 载 执行 等 。 现 在 的 木 
马 主要 以 窃取 用 户 的 相关 信息 为 目的 。 相 对 病毒 而 言 ,可 以 简单 地 理解 为 ,病毒 破坏 信 
息 ,而 木马 窃取 信息 。 

从 广义 上 说 ,蠕虫 也 可 以 算是 病毒 中 的 一 种 ,但 是 它 与 普通 病毒 之 间 有 着 很 大 的 区 
别 。 一 般 认为 ,蠕虫 是 一 种 通过 网 络 传播 的 恶性 病毒 , 它 具 有 病毒 的 一 些 共性 ,如 传播 性 、 
隐蔽 性 、 破 坏 性 等 ,同时 具有 自己 的 一 些 特征 ,如 不 利用 文件 寄生 ,对 网 络 造成 拒绝 服务 ， 
以 及 和 黑客 技术 相 结合 等 。 普 通病 毒 需要 传播 受 感染 的 驻 留 文 件 来 进行 复制 ,而 蠕虫 不 
使 用 驻 留 文件 即 可 在 系统 之 间 进 行 自我 复制 ,普通 病毒 的 传染 能 力主 要 是 针对 计算 机 内 
的 文件 系统 而 言 的 ,而 蠕虫 病毒 的 传染 目标 是 互联 网 内 的 所 有 计算 机 。 因 而 在 产生 的 破 
坏 性 上 ,蠕虫 病毒 也 不 是 普通 病毒 所 能 比拟 的 。 局 域 网 条 件 下 的 共享 文件 夹 、 电 子 邮 件 、 
恶意 网 页 .大量 存在 着 漏洞 的 服务 器 等 都 是 蠕虫 传播 的 良好 途径 ,蠕虫 可 以 在 几 个 小 时 内 
草 延 全 球 ,而 且 蠕 虫 的 主动 攻击 性 和 突然 爆发 性 将 使 得 人 们 手足 无 措 。 此 外 ,蠕虫 会 消耗 
内 存 或 网 络 带宽 ,从 而 可 能 导致 计算 机 或 网 络 崩 溃 。 

综 上 所 述 ,病毒 侧重 于 破坏 操作 系统 和 应 用 程序 的 功能 ,木马 侧重 于 窃取 敏感 信息 的 
能 力 ,蠕虫 则 侧重 于 在 网 络 中 的 自我 复制 和 自我 传播 能 力 。 具 体 的 区 别 如 表 17. 1 所 示 。 


表 17.1 病毒 .木马 和 蠕虫 的 对 比 


病毒 木马 是 由 
存在 形式 | 寄生 独立 个 休 独立 个 体 
传播 途径 。 | 通过 宿主 程序 运行 植 和 目标 主机 通过 系统 存在 的 漏洞 
传播 速度 。 | 慢 最 慢 快 
- 本 地 文件 和 系统 .网 络 上 
攻击 目标 | 本 地 文件 ry 程序 自身 
触发 机 制 ”| 计算 机 操作 者 计算 机 操作 者 程序 自身 
防治 方法 | 从 宿主 文件 中 摘除 pal 为 系统 打上 补丁 
守 扩 主体 | 计算 机 使 用 阁 . 防 病毒 供 | 计算 机 使 用 者 和 防 病毒 | 计算 机 使 用 者 ,系统 软件 
应 商 供应 商 、 网 络 管理 者 供应 商 、 网 络 管理 者 
习题 
1 简 述 恶意 代码 的 分 类 方法 ,列举 出 通常 的 几 类 恶意 代码 。 
2. 计算 机 病毒 的 概念 及 特点 是 什么 ? 
3. 计算 机 病毒 的 防范 方法 有 哪些 ? 
4. 简 述 木马 的 结构 和 原理 以 及 木马 有 哪些 隐藏 技术 。 
5. 木马 常用 的 植 人 手段 有 哪些 ? 
6. 简 述 蠕虫 的 结构 和 原理 ,说 明 蠕 虫 的 特点 是 什么 。 
7. 分 析 病毒 .木马 和 蠕虫 的 区 别 。 
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